Gestion des certificats SSL

Dans de nombreuses grandes entreprises, des milliers d’appareils d’utilisateur accèdent au réseau d’entreprise chaque jour, des centaines d’entre eux dépendant de systèmes privilégiés pour les opérations courantes. Pour une authentification sure, les administrateurs créent et distribuent des certificats SSL (Secure Socket Layer) ou TLS (Transport Layer Security) pour vérifier et valider ces appareils et chiffrer la communication bidirectionnelle.

Cela signifie aussi que les administrateurs doivent suivre des centaines de certificats chaque jour, analyser constamment leur utilisation, contrôler leur expiration, déceler et corriger les vulnérabilités de configuration, etc. Assez souvent, la création de certificats s’effectue en silos et les administrateurs manquent de visibilité sur les modèles de déploiement et les périodes de validité. De plus, il s’avère essentiel d’établir des mécanismes de contrôle d’accès strict, n’autorisant que certaines personnes à formuler et approuver des demandes de certificat pour éviter la prolifération.

L’orchestration manuelle de tout le workflow de gestion du cycle de vie des certificats est une tâche lourde et propice aux erreurs. La solution idéale pour l’entreprise consiste à déployer un système de gestion des certificats qui élimine les problèmes de visibilité, simplifie les demandes, automatise les workflows et suit le cycle de vie global de tous les certificats dans une seule interface.

PAM360 intègre un module de gestion des certificats qui assure un suivi et contrôle complet du cycle de vie des certificats SSL et TLS de l’entreprise. Un administrateur peut rechercher, regrouper, créer, déployer, renouveler et gérer des clés numériques et des certificats avec des comptes privilégiés, facilitant un contrôle étroit et proactif de l’utilisation des modes d’accès privilégié au réseau d’entreprise.

Recherche de certificats SSH et TLS dans des environnements et des terminaux hétérogènes

PAM360 intègre un outil de recherche SSL et TLS qui facilite le recensement de tous les types de certificats X.509 déployés dans le réseau de l’organisation. Cela comprend les certificats auto-signés et ceux d’utilisateur Active Directory, de serveur de courrier, déployés via des répartiteurs de charge, hébergés dans Amazon Web Services (AWS), etc.

On peut aussi exécuter la recherche de certificats en masse à la demande ou automatiquement à des intervalles réguliers via la création de tâches planifiées. Les nouveaux certificats sont configurables pour un ajout automatique au registre de PAM360 à leur génération. Les administrateurs obtiennent ainsi un suivi complet de leurs environnements SSL et TLS pour identifier et éliminer rapidement les certificats indésirables ou non valides dans le réseau.

Centralisation du déploiement de certificats sur des systèmes et des applications cibles

Il est courant pour une entreprise d’obtenir des certificats de plusieurs autorités de certification pour ses systèmes et applications. Cela oblige les administrateurs à jongler entre deux portails de fournisseurs ou plus pour la gestion avec peu de visibilité.

Dans PAM360, le dépôt contient les certificats de tous types, quelle que soit l’autorité émettrice, facilitant un workflow de déploiement central sans avoir à naviguer entre plusieurs interfaces. Un administrateur peut aussi générer et déployer des certificats auto-signés de PAM360 à des fins internes, évitant de dépendre inutilement d’équipes intermédiaires.

Maîtrise des renouvellements de certificat via des alertes d’expiration ponctuelles

Les certificats SSL et TLS déployés sur des systèmes et des applications présentant des dates d’expiration fixes, il faut les renouveler à l’occasion. Les expirations de certificat imprévues entraînent des interruptions de service, nuisant à la productivité et l’image de marque, voire créant des vulnérabilités de sécurité dans les cas extrêmes.

L’analyse des périodes de validité de tous les certificats dans l’organisation est une lourde tâche pour un administrateur. PAM360 facilite le suivi des expirations de certificat via des alertes automatiques par courrier, interruptions SNMP ou messages Syslog. Un administrateur peut même lancer des renouvellements, orchestrer le déploiement de certificats juste acquis et suivre leur utilisation, le tout dans une seule interface unifiée.

Utilisation d’intégrations prédéfinies à des CA tierces pour suivre le cycle de vie des certificats dans une seule interface

Les DSI d’entreprise manquent d’une visibilité globale sur l’utilisation des certificats et les périodes de validité, surtout lorsque plusieurs CA tierces interviennent dans leur attribution. En outre, les portails de gestion qu’offrent les éditeurs de certificats ne facilitent l’automatisation du cycle de vie que pour les certificats natifs, sans prendre en charge les autres.

Le module de gestion des certificats de PAM360 permet une gestion du cycle de vie des certificats indépendante de l’éditeur grâce à des workflows étroitement intégrés. L’administrateur peut acquérir, regrouper, déployer, renouveler et suivre le cycle de vie des certificats émis par une large gamme de CA tierces. La liste complète des autorités intégrées nativement à PAM360 figure ici.

Gestion exclusive des certificats du magasin de certificats Microsoft et émis par l’autorité de certification Microsoft

Pour faciliter une communication sécurisée dans des applications internes et des serveurs, les DSI d’entreprise configurent généralement des CA internes comme l’autorité de certification Microsoft et déploient les certificats générés localement sur divers points nodaux du réseau. De nouveau, il faut analyser et gérer constamment ces certificats pour éviter des interruptions de connexion.

La gestion manuelle des certificats de CA internes peut s’avérer difficile pour les administrateurs, surtout à grande échelle. PAM360 offre des workflows dédiés qui aident les DSI d’entreprise à gérer, automatiser et orchestrer la gestion des certificats dans le magasin Microsoft et les certificats émis par l’autorité Microsoft sans intervention manuelle.