Zum Hauptinhalt springen

CertNanny

CertNanny

Dezentrales Zertifikats-Lifecycle-Management – automatisiert, plattformübergreifend und ohne zentrale Verwaltungskomponenten.

CertNanny ist ein schlanker Software-Agent, der die vollständige Lebenszyklus-Verwaltung von X.509v3-Zertifikaten direkt auf dem Endsystem übernimmt – von der Erstbeantragung über die automatische Erneuerung bis hin zur Sperrung. Eine einzige, abhängigkeitsfreie Programmdatei ersetzt den fehleranfälligen, manuellen Prozess der Schlüsselerzeugung, CSR-Erstellung und Zertifikatserneuerung vollständig.

CertNanny unterstützt Server, Workstations und IoT-Geräte gleichermaßen – ob im Unternehmensrechenzentrum, in der Fertigung oder auf eingebetteten Systemen im Feld.

Anfragen

CertNanny: Highlights

Vollautomatische Erneuerung: CertNanny überwacht installierte Zertifikate und erneuert sie rechtzeitig vor Ablauf – vollständig automatisch, ohne manuellen Eingriff.

Einzelnes Binary, keine Abhängigkeiten: Ein einziges Programm ohne externe Laufzeitabhängigkeiten vereinfacht Verteilung und Betrieb erheblich – auf Linux, Windows, macOS und vielen weiteren Plattformen.

Keine eingehenden Verbindungen: CertNanny kommuniziert ausschließlich ausgehend mit dem CA-Backend. Kein Listener, keine offenen Ports, kein zentraler Management-Agent erforderlich.

Features

  • Erstbeantragung und Erneuerung — Erstellung von PKCS#10-Requests mit x509v3-Erweiterungen wie Subject Alternative Names oder Certificate Templates. Anfragen können templatebasiert erstellt werden; die Authentifizierung erfolgt wahlweise über statisches Challenge-Passwort oder HMAC-Funktion. Ablaufende Zertifikate werden automatisch per Proof-of-Possession (Certificate Re-Keying) erneuert.

  • Registrar-Funktion — Authentifizierung von Anfragen per Client-Zertifikat (Enrollment on Behalf) sowie Verarbeitung extern erstellter PKCS#10-Dateien. Zertifikatssperrung ist integriert.

  • Multi-Plattform-Unterstützung — Verfügbar für Linux (x86_64, ARM, weitere), Windows, macOS sowie AIX, Solaris und diverse BSD-Derivate. Für ressourcenbeschränkte eingebettete Systeme steht eine schlanke Embedded-Variante bereit.

  • Flexible Keystore-Unterstützung — Natives Keystore-Management für OpenSSL/PEM- und PKIC#12-Format; weitere Formate (Java Keystore, Windows Certificate Store) können über Script-Hooks angebunden werden.

  • Modulare Enrollment-Protokolle — Unterstützung für SCEP, EST und das OpenXPKI-eigene RPC-Protokoll. Zusätzlich ist ein externer Modus verfügbar, bei dem CSR und Zertifikat manuell oder durch ein lokales Skript übergeben werden.

  • Vertrauensanker- und CA-Rollover-Management — CertNanny verwaltet CA-Zertifikatsketten und Root-Zertifikate und unterstützt den vollautomatischen Root-CA-Rollover.

  • Monitoring-Integration — Über konfigurierbare State-Change-Hooks lassen sich beliebige externe Monitoring- und Alerting-Systeme anbinden. Benachrichtigungen bei fehlgeschlagener Erneuerung oder bevorstehend ablaufenden Zertifikaten sind so einfach realisierbar.

  • Mehrstufiges Konfigurationssystem — YAML-basierte Konfiguration mit definierten Prioritätsstufen: bestehendes Zertifikat, lokale Konfigurationsdatei, Umgebungsvariablen, Kommandozeilenargumente, Backend-Parameter und Systemumgebung. Einstellungen lassen sich flexibel überschreiben.

Use Cases

  • Server und Workstations im Unternehmen — CertNanny wird als systemd-Timer oder Cron-Job eingerichtet und erneuert TLS-Zertifikate für Webserver, Mail-Server und andere Dienste vollautomatisch vor Ablauf. Script-Hooks sorgen dafür, dass Anwendungen nach einer Erneuerung automatisch neu geladen werden. Kein zentraler Agent, keine eingehenden Verbindungen – ideal für restriktive Netzwerksegmente.

  • IoT und eingebettete Systeme — Die CertNanny Embedded-Variante ermöglicht die sichere Zertifikatsversorgung von Geräten im Feld mit minimalem Ressourcenbedarf. Minimaler Programmcode mit eingebetteter Konfiguration, keine externen Abhängigkeiten und Unterstützung für verschiedene Hardware- und Softwareplattformen machen CertNanny zur idealen Lösung für IoT-Deployments. Die Integration kryptografischer Hardware wie TPMs ist möglich; kundenspezifische Hardwareanpassungen sind auf Anfrage verfügbar.

  • OpenXPKI Enterprise Edition — Zusammen mit OpenXPKI Enterprise Edition bildet CertNanny ein dezentrales Certificate Lifecycle Management System mit mächtigen Erweiterungsfunktionen. Neben den Standard-Enrollment-Protokollen stehen zusätzliche Authentifizierungsmethoden (HMAC, Challenge-basiert) sowie workflowgestützte Genehmigungsprozesse zur Verfügung. Zertifikatssperrung bei Erneuerung, Transaktions-IDs und mehrstufige Freigabeworkflows sind vollständig integriert.

  • Bestehende CA-Infrastruktur — CertNanny lässt sich über SCEP und EST an nahezu jedes CA-Produkt anbinden und ergänzt bestehende PKI-Infrastrukturen um automatisiertes, dezentrales Lifecycle-Management auf den Endsystemen – unabhängig vom eingesetzten CA-Produkt.

  • Massenausrollung / Batch-Betrieb — Über die Registrar-Funktion können Zertifikate im Auftrag für andere Zielsysteme beantragt werden (Enrollment on Behalf). 

Details

Deployment — CertNanny wird als einzelne, statisch gelinkte Binary ohne externe Laufzeitabhängigkeiten ausgeliefert. Vorgefertigte Pakete stehen für Linux (RPM, DEB-Paket) und Windows (Installer) zur Verfügung; für macOS wird eine fertige Binary bereitgestellt. Für Linux-Systeme wird die Integration als systemd-Timer empfohlen.

Betriebsmodell — CertNanny läuft im „One-Shot"-Modus: Das Programm wird periodisch aufgerufen (z. B. per Cron oder systemd-Timer), prüft den Zustand aller konfigurierten Keystores und führt ggf. notwendige Aktionen durch. Es werden keine dauerhaften Prozesse oder eingehenden Netzwerkverbindungen benötigt. Der Betrieb als nicht-privilegierter Benutzer wird empfohlen.

Schlüsselerzeugung und CSR — CertNanny erzeugt Schlüsselmaterial (RSA, NIST-Elliptic-Curves) und erstellt daraus Certificate Signing Requests (CSR) gemäß PKCS#10. Subject, SAN-Einträge können aus dem Bestandszertifikat übernommen werden, Erweiterungen wie certificateTemplate oder challengePassword können über Konfigurationsdatei oder Kommandozeilenoptionen gesteuert werden. Eine Anbindung von TPMs und vergleichbarer kryptographischer Hardware ist möglich.

Zertifikatsinstallation und Formatkonvertierung — Schlüssel und Zertifikate können optional in PKCS#12, Java Keystore oder andere Formate konvertiert werden. Die Integration der vollständigen Zertifikatskette (mit oder ohne Root-Zertifikat) ist möglich. 

State-Management und Hooks — CertNanny verwaltet für jeden konfigurierten Keystore einen internen Zustand. Für beliebige Zustandsübergänge können externe Programme oder Skripte aufgerufen werden (State-Change-Hooks). Diese erhalten Kontext-Informationen über Kommandozeilenparameter oder Umgebungsvariablen und ermöglichen die Integration in Monitoring-, Deployment- und Automatisierungssysteme.

Lizenzierung — CertNanny ist in verschiedenen Varianten erhältlich: Die Enterprise Edition umfasst den vollen Funktionsumfang (alle Enrollment-Protokolle, alle Keystore-Typen, volle Konfigurationsflexibilität). Die Basic-Variante ist auf den OpenSSL-Keystore und das OpenXPKI-RPC-Protokoll beschränkt. Die Embedded-Variante ist für ressourcenbeschränkte eingebettete Systeme optimiert. Zeitlich begrenzte Evaluierungslizenzen sind auf Anfrage erhältlich.

Lizenz

  • Subscription: gestaffelt nach Zertifikatsmengen und Anzahl unterstützte Plattformen. Gern informieren wir Sie über unsere aktuelle Preisstaffel.

Zusatzoptionen

  • Erweiterungsmodul „Workflow“ für komplexe, nicht-lineare Prozesssteuerung
  • Erweiterungsmodul „Telemetry“ sammelt Daten ihrer Zertifikate und überträgt diese an einen zentralen Server

Wartung und Support

Support

Sie möchten mehr über unsere Produkte erfahren
oder eine Demo anfordern?

Jetzt Kontakt aufnehmen

PKI

Infrastruktur

Use-Cases

Contact

  • Werner-Heisenberg-Str. 8
  • 85254 Sulzemoos
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
  • +49 8135 314 000-0
© Whiterabbitsecurity