<img alt="" src="https://secure.weed6tape.com/193471.png" style="display:none;">
x

Benutzen Sie die Erneuerung um ihr system zu modernisieren

Jedes Produkt wird irgendwann das Ende seiner Lebensdauer erreichen und ersetzt werden müssen. Im Falle von HSMs (Hardware-Sicherheitsmodulen), insbesondere wenn sie in einer PKI/CA - einer Public Key Infrastructure Certificate Authority - eingesetzt werden, mag dies entmutigender erscheinen als der Ersatz einfacher Netzwerkgeräte. Der Grund dafür ist, dass das HSM den Root-Schlüssel für die PKI enthält - und den Root-Schlüssel aus dem HSM herauszubekommen, kann eine Herausforderung darstellen.

Anstatt sich einfach für die teure Plattform der nächsten Generation Ihres bestehenden Anbieters zu entscheiden, sollten Sie vielleicht Alternativen in Betracht ziehen. Die Primus HSMs von Securosys bieten beim Einsatz in einer PKI/CA eine Vielzahl von Vorteilen gegenüber Industriestandardgeräten. Die Multi-Tenancy des Primus HSM ermöglicht die Verwendung einer Partition für den Root-Schlüssel der Haupt-CA, während zusätzliche Partitionen für die Sub-CAs verwendet werden können.

Nachdem die Zertifikate für die Sub-CAs durch den Root-Key signiert wurden, kann die Partition der Haupt-CA von den Sicherheitsbeauftragten offline genommen werden. Auf diese Partition kann dann nicht mehr ohne Beteiligung eines Security Officers zugegriffen werden - ein viel einfacheres und kostengünstigeres Verfahren als der Transport eines HSM-Geräts in einen physischen Tresor. Ausserdem können Sie mit dem Decanus Remote Administration Terminal Primus HSMs von Ihrem Schreibtisch aus verwalten.

Wie können Sie also Ihre PKI auf Securosys Primus HSM migrieren?

Erste Option

Extrahieren Sie den Root-Schlüssel aus Ihrer bestehenden PKI.
Zweite Option
Nehmen Sie den Root-Schlüssel aus Ihrem Backup (Tresorfach).
Dritte Option
Richten Sie eine neue PKI ein und lassen Sie Ihre bestehende PKI auslaufen.

Sie haben immer Optionen

Abhängig von der Einrichtung Ihrer bestehenden PKI funktioniert jede dieser Optionen bei der Migration zu Securosys. Alle diese Prozesse wurden verwendet, um bestehende Systeme erfolgreich auf die Primus HSMs von Securosys und unsere CloudsHSMs zu migrieren.

Option 1: Extrahieren des Root-Schlüssels Ihrer bestehenden PKI

Dies ist die einfachste Option. Abhängig von der Einrichtung Ihrer PKI, insbesondere den Einstellungen Ihres alten HSM, können Sie den Root-Schlüssel daraus extrahieren. Wenn das möglich ist, ist die empfohlene Methode die Verwendung eines Wrapping-Schlüssels aus Ihrem neuen Securosys Primus HSM. Exportieren Sie unter Verwendung des Wrapping-Key den Root-Key aus Ihrem alten System und importieren Sie ihn in das neue System.

Wenn Ihr Root-Schlüssel nicht exportiert werden kann, dann könnte Option 2 für Sie in Frage kommen.

Option 2: Nehmen Sie den Root-Schlüssel aus Ihrem Backup (Banktresor)

Als Sie Ihre PKI eingerichtet haben (oder als sie für Sie eingerichtet wurde), haben Sie den Root-Key möglicherweise ausserhalb des HSM generiert, um eine Herstellerbindung zu verhindern und ein Backup zu haben. Wenn Sie ein solches Backup haben - normalerweise auf Papier, in einem Bankschliessfach aufbewahrt - dann können Sie es einfach in Ihr neues Primus HSM importieren.

Sollten Sie kein Backup haben, dann ist Option 3 die Lösung für Sie.

Option 3: Richten Sie eine neue PKI ein und lassen Sie Ihre bestehende PKI auslaufen

Anstatt den alten Root-Schlüssel zu importieren, können Sie Ihren Root-Schlüssel und Ihr CA-Zertifikat mit einem Schlüssel-Roll-over auf das neue HSM erneuern. Wenn diese Option nicht verfügbar ist, richten Sie einfach eine neue PKI mit einem neuen Root-Schlüssel ein. Von diesem Zeitpunkt an werden alle neuen Zertifikate von der neuen PKI ausgestellt. Abhängig von der Lebensdauer der zuvor ausgestellten Zertifikate und dem Zeitpunkt der Erstellung des letzten Zertifikats müssen Sie Ihr altes System noch ein bis zwei weitere Jahre in Betrieb halten. Das alte System wird nicht mehr für die Erstellung neuer Zertifikate verwendet. Stattdessen wird es nur noch für die Pflege der Zertifikatswiderrufsliste (CRL) und des OCSP (Online Certificate Status Protocol) in Betrieb gehalten. Wenn das letzte Zertifikat aus dem alten System abgelaufen ist, können Sie es einfach abbauen. Sie können den gesamten Prozess auch beschleunigen, indem Sie alle vorhandenen Zertifikate sperren und auf der neuen PKI/CA neu ausstellen und dann eine endgültige CRL für ein paar Jahre aufrechterhalten.

Darüber hinaus könnten Sie auch die Quersignatur der Zertifikate der neuen Unter-CAs in Betracht ziehen. Auf diese Weise würden Sie diese Zertifikate sowohl mit dem Root-Key der neuen CA als auch mit dem Root-Key der alten CA signieren lassen. Dies bietet einen alternativen Vertrauenspfad unter Wahrung der Rückwärtskompatibilität.

Viele haben es vor Ihnen getan

Viele PKIs sind bereits auf die Primus-HSMs von Securosys migriert worden.

Das Primus-System funktioniert gut mit den meisten wichtigen PKI-Anwendungen auf dem Markt, wie z.B. MS ADCS, EJBCA Enterprise (PrimeKey), SwissPKI, Entrust Security Manager und vielen anderen.

Nutzen Sie die Vorteile voll aus

Auch wenn im Vorfeld eine gewisse Planung erforderlich ist, können Sie die Vorteile von Primus HSMs in vollem Umfang nutzen, nachdem Sie sich von Ihrem alten System verabschiedet haben. Zu diesen Vorteilen gehören einfaches Clustering, Fernverwaltung und die Möglichkeit, Ihr System durch Implementierung von Geo-Redundanz weiter abzusichern. Wie oben gezeigt, ist die Migration Ihrer PKI zu den Primus HSMs von Securosys einfach.

Für weitere Informationen und Securosys-Partner, die Sie bei einer PKI-Migration unterstützen können, kontaktieren Sie uns bitte.
Für weitere Informationen und Securosys-Partner, die Sie bei einer PKI-Migration unterstützen können, kontaktieren Sie uns bitte.
Sprache
Adresse

Max-Högger-Strasse 2
8048 Zürich
Switzerland

Telefon

+41 44 552 31 00

Fax

+41 44 552 31 99

Copyright © 2022 Securosys SA. Alle Rechte vorbehalten.