Zum Hauptinhalt springen

OpenXPKI Enterprise Edition

OpenXPKI Enterprise Edition

Leistungsfähige Unternehmens-PKI für ein professionelles und flexibles Management von X.509v3-Zertifikaten

OpenXPKI ist eine PKI-Software der Enterprise-Klasse für Organisationen, die eine leistungsfähige, flexibel anpassbare Zertifikatsverwaltung benötigen — ohne sich an einen proprietären Hersteller zu binden. Das workflowbasierte System deckt den gesamten Zertifikatslebenszyklus ab: von der manuellen Antragstellung mit mehrstufigem Genehmigungsprozess bis zur vollautomatischen Massenversorgung von Geräten über SCEP, EST, ACME oder RPC. Beliebig viele logische CAs laufen in einer einzigen Installation, CA-Rollover passiert im laufenden Betrieb ohne Downtime, und über das Connector-Interface lässt sich OpenXPKI nahtlos in die bestehende Infrastruktur integrieren.

Ob Sie eine interne Unternehmens-PKI aufbauen, IoT-Geräte mit Zertifikaten versorgen oder eine bestehende CA-Landschaft konsolidieren möchten - OpenXPKI liefert die Plattform dafür.

 

Anfragen

OpenXPKI Enterprise Edition: Highlights

Workflowbasiertes Certificate Lifecycle Management: Alle Zertifikatsprozesse - Beantragung, Genehmigung, Ausstellung, Erneuerung, Sperrung - werden über eine konfigurierbare Workflow-Engine gesteuert. Standardworkflows für die gängigsten Anwendungsfälle sind enthalten und lassen sich ohne Programmierung an individuelle Anforderungen anpassen.

Beliebig viele logische CAs in einer Installation: Eine einzelne OpenXPKI-Instanz verwaltet beliebig viele logische CAs (PKI Realms), jeweils mit eigenen Issuing CAs, Policies, Enrollment-Endpunkten und Berechtigungskonzepten - vollständig voneinander getrennt.

Nahtloser CA-Rollover ohne Downtime: Neue Issuing-CA-Zertifikate werden im laufenden Betrieb aktiviert. OpenXPKI wählt automatisch die aktuellste CA für die Zertifikatsausstellung und stellt Final-CRLs für auslaufende CA-Zertifikate aus - ohne manuellen Eingriff und ohne Neustart.

Universelles Autoenrollment: Zertifikate lassen sich über SCEP, EST, ACME oder das native OpenXPKI-RPC-Interface vollautomatisch beziehen. Pro PKI Realm können beliebig viele Enrollment-Endpunkte mit jeweils eigener Policy konfiguriert werden.

Connector-Interface für tiefe Integration: Das Connector-Konzept ermöglicht die Anbindung externer Datenquellen - z. B. LDAP, SQL, REST-Interfaces, Dateien - an praktisch jeder Stelle der Konfiguration. Damit lassen sich Genehmigungsentscheidungen, Metadatenanreicherung und Zertifikatspublikation flexibel an die bestehende Infrastruktur anbinden.

HSM-Unterstützung: CA-Schlüssel können über die PKCS#11-Schnittstelle in Hardware-Sicherheitsmodulen geschützt werden. Alternativ stehen Software-Schlüssel mit Passphrase oder Shamir's Secret Sharing zur Verfügung.

Features

  • Web-basiertes User-Interface: OpenXPKI bietet ein modernes, browserbasiertes Frontend für die Zertifikatsverwaltung. Die Oberfläche bildet den aktuellen Zustand der Workflow-Instanzen ab und unterstützt rollenbasierte Antragsteller- und Genehmiger-Prozesse. Alle gängigen Browser werden unterstützt.

  • Flexible Enrollment-Endpunkte: Für jeden PKI Realm können beliebig viele Enrollment-Endpunkte vom Typ SCEP, EST, ACME oder RPC konfiguriert werden. Jeder Endpunkt erhält eine eigene, feingranular konfigurierbare Enrollment-Policy — von der Authentifizierung über die Validierung bis zur Profilzuweisung.

  • Konfigurationsgesteuerte Workflow-Engine: Workflows werden über YAML-basierte Konfigurationsdateien definiert, nicht über Code. Die Komplexität reicht von einfachen zustandslosen Operationen (z. B. Reporting) bis zu langlebigen Prozessen mit manueller Interaktion mehrerer Beteiligter über Tage hinweg. Workflow-Instanzen können unterbrochen, wieder aufgenommen und über ihre Workflow-ID jederzeit referenziert werden.

  • Connector-basierte Datenintegration: Jeder literale Konfigurationswert in OpenXPKI kann durch einen Connector ersetzt werden, der zur Laufzeit externe Quellen abfragt. Connectoren existieren für LDAP-Verzeichnisse, SQL-Datenbanken, REST-Webservices, Flat Files und mehr. Dasselbe Konzept steuert auch die Publikation von Zertifikaten und CRLs — ob in ein LDAP-Verzeichnis, auf ein Dateisystem oder per SCP auf ein entferntes System.

  • Flexible Authentifizierung: Die Benutzerauthentifizierung wird pro PKI Realm über konfigurierbare Authentication Stacks gesteuert. Unterstützt werden unter anderem LDAP, SAML, OAuth und lokale Passwörter. Externe SSO-Systeme lassen sich problemlos anbinden.

  • Notification-System: Workflows können bei definierten Ereignissen automatisch Benachrichtigungen auslösen. Neben E-Mail (SMTP) werden bei Bedarf auch Integrationen mit Request Tracker (RT) und ServiceNow unterstützt. Zusätzlich erzeugt OpenXPKI Erinnerungen für auslaufende Zertifikate.

  • RA/CA-Flexibilität: Im Standardbetrieb arbeiten Registration Authority und Certificate Authority auf demselben System. Bei erhöhten Sicherheitsanforderungen kann die RA von der CA getrennt oder eine externe Backend-CA angebunden werden - und das kann auch eine öffentliche CA sein!

  • Microsoft Autoenrollment: Natives Windows-Autoenrollment wird optional über Produkte von Partnerunternehmen unterstützt und ermöglicht die nahtlose Integration von OpenXPKI in Active-Directory-Umgebungen.

Use Cases

  • Interne Issuing CA mit integriertem Zertifikatsmanagement: OpenXPKI eignet sich ideal als zentrale interne Issuing CA für manuelle und automatische Antragsprozesse. Das integrierte Zertifikatslebenszyklus-Management übernimmt die automatische Erneuerung, eskaliert fehlgeschlagene Verlängerungen und stellt flexible Reporting-Funktionen bereit — alles konfigurationsgesteuert und ohne individuelle Skripte.

  • Automatisierte Zertifikatsversorgung von IT-Infrastruktur: Netzwerkgeräte, Telefonanlagen, Virtualisierungsplattformen oder Device-Management-Systeme werden über SCEP, EST, ACME oder RPC vollautomatisch mit Zertifikaten versorgt. Pro Gerätetyp oder Organisationseinheit lassen sich dedizierte Enrollment-Endpunkte mit individuellen Policies konfigurieren.

  • IoT-Zertifikatsprovisionierung: Von der Erstausstellung von Gerätezertifikaten während der Produktion bis zum automatisierten Zertifikatsaustausch im laufenden Betrieb: OpenXPKI liefert die Infrastruktur für den gesamten Zertifikatslebenszyklus von IoT-Geräten — skalierbar und vollständig automatisierbar.

  • Integration mit externen Datenquellen: Über das Connector-Interface bindet OpenXPKI externe Systeme direkt in den Zertifikatsprozess ein. REST-APIs, Webservices, Datenbanken, Verzeichnisdienste oder Asset-Management-Systeme liefern Metadaten für die Anreicherung von Zertifikatsanträgen oder steuern automatisierte Genehmigungsentscheidungen.

  • Konsolidierung einer gewachsenen CA-Landschaft: Anstatt für jede Abteilung oder jeden Anwendungsfall eine eigene CA zu betreiben, fasst OpenXPKI beliebig viele logische CAs in einer einzigen Installation zusammen. Jeder PKI Realm behält seine eigenen Policies, Endpunkte und Einstellungen für Benutzer-Authentisierung, aber Betrieb, Monitoring und Wartung werden zentral gebündelt.

Details

Deployment und Plattformen: OpenXPKI wird als Paket für RedHat Enterprise Linux (RHEL), SuSE SLES und Ubuntu Server LTS bereitgestellt. Die Installation erfolgt auf VMs oder physischer Hardware. Für containerisierte Deployments steht mit RabbitPKI eine schlanke Docker-basierte Variante zur Verfügung.

Architektur: Der OpenXPKI-Core läuft als Unix-Daemon und ist über einen Unix Domain Socket ansprechbar. Das Web-Frontend setzt als separate Schicht auf dem Core auf. Durch diese Trennung lassen sich Core und Frontend unabhängig voneinander skalieren und absichern.

Konfigurationsmodell: Die gesamte Systemkonfiguration erfolgt über hierarchische YAML-Dateien, die sich ideal in einem Versionskontrollsystem wie Git verwalten lassen. Sensible Informationen wie Datenbankpasswörter können bei Bedarf an das externe Tool KeyNanny ausgelagert werden.

Datenbank: OpenXPKI unterstützt primär MariaDB und PostgreSQL. Als Richtwert für den Speicherbedarf gelten ca. 1 GB Datenbankgröße pro 10.000 Zertifikate bei Verwendung der Standardworkflows.

Clustering: Sowohl Active/Passive- als auch Active/Active-Betrieb wird unterstützt. Active/Active erfordert einen externen Load Balancer und eine gemeinsame, redundante Datenbank. Load Balancer sollten so konfiguriert werden, dass die Ziel-IP innerhalb einer User-Session konstant bleibt.

Schlüsselspeicheroptionen: CA-Schlüssel werden über die PKCS#11-Schnittstelle in Hardware-Sicherheitsmodulen geschützt. Unterstützt werden unter anderem Entrust nCipher nShield, Gemalto SafeNet, Utimaco u.Trust und Securosys Primus HSMs sowie weitere HSMs über das generische PKCS#11-Interface. Alternativ können Software-Schlüssel mit Passphrase oder über ein in Software implementiertes Shamir's Secret Sharing abgesichert werden.

Codebase und Stabilität: OpenXPKI basiert auf einer ausgereiften und stabilen Laufzeitumgebung — ein entscheidender Vorteil für PKI-Systeme, die auf viele Jahre Betriebsdauer ausgelegt sind.

Lizenz inklusive Setup-Paket

  • Die Lizenz für OpenXPKI Enterprise Edition beinhaltet das Setup anhand Ihres PKI-Konzepts, Erstellung einer Spiegelumgebung in unserem Labor und Integration in die Kundenumgebung. Wir begleiten Sie bis zum Go-Live Ihrer PKI.

Zusatzoptionen

  • CA-Schlüssel in HSMs: HSM-Integration
  • Mandantentrennung: LRA-Modul
  • Anbindung externe CA: Proxy-CA
  • Trennung von RA und CA: RA-CA-Split Modul
  • kundenspezifische Zusatzfunktionen: Customizing nach Aufwand

Wartung und Support

Support

Sie möchten mehr über unsere Produkte erfahren
oder eine Demo anfordern?

Jetzt Kontakt aufnehmen
OpenXPKI Enterprise Edition-Demo

PKI

Infrastruktur

Use-Cases

Contact

  • Werner-Heisenberg-Str. 8
  • 85254 Sulzemoos
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
  • +49 8135 314 000-0
© Whiterabbitsecurity