Zum Hauptinhalt springen

clca

clca

Professionelle offline Root-CA

clca ist die schlanke, sichere Lösung für die unternehmenseigene Root-CA. Ein bootfähiges Live-Image sorgt dafür, dass die Root-CA nur dann aus dem Tresor geholt werden muss, wenn sie gebraucht wird - mit kundenspezifischen Runbooks, die Operateure Schritt für Schritt durch jede Zeremonie führen.

Fertig konfiguriert, PQC-ready und bereit für Ihren nächsten CA-Rollover.

Anfragen

clca: Highlights

Schlüsselfertiges Boot-Medium - Komplette CA-Laufzeitumgebung als bootfähiges Linux-Image, inklusive aller nötigen kryptografischen Werkzeuge

    Kommandozeilenbasiert, auditierbar und reproduzierbar - Jede Operation ist nachvollziehbar und liefert konsistente Ergebnisse

      Flexibler Schlüsselschutz - Von einfacher Passphrase über softwarebasiertes k/n Secret Sharing bis hin zu HSM-geschützten Schlüsseln

        Kryptoagilität eingebaut - Unterstützung für RSA, ECDSA und Post-Quantum-Verfahren (PQC)

          Template-basierte Provisionierung - Automatische Erzeugung vollständiger CA-Konfigurationen mit Unterstützung für CA-Rollover und Generationswechsel

            Geführte CA-Zeremonien - Kundenspezifische Runbooks leiten Operateure Schritt für Schritt durch alle CA-Operationen in der Laufzeitumgebung

              Features

              • Verwaltung beliebig vieler unabhängiger CA-Instanzen in einer einzigen Installation.

                • Vollständiger Lebenszyklus: CA-Erstellung, Zertifikatsausstellung (Root-, Sub-CA- und End-Entity-Zertifikate), Sperrung und CRL-Erzeugung.

                  • Kundenindividuelle Runbooks mit Schritt-für-Schritt-Anweisungen, direkt als Dokumentation in der Laufzeitumgebung verfügbar.

                    • Template-basierte Provisionierung: YAML-Vorlagen erzeugen vollständige CA-Konfigurationen mit einem Befehl ermöglicht Unterstützung für CA-Generationswechsel (Rollovers) bei gleichbleibender Konfigurationsqualität.

                        • Unterstützung für RSA (konfigurierbare Schlüssellängen), ECDSA (konfigurierbare Kurven) und Post-Quantum-Algorithmen. Vorbereitet auf die Post-Quantum-Migration - quantenresistente Algorithmen sind bereits integriert und einsatzbereit.

                        • Schutz der Infrastrukturschlüssel: Herstellerunabhängiger HSM-Support über PKCS#11-Schnittstelle. Eventuell nötige HSM-Treiber werden beim Boot-Vorgang zur Laufzeit in einem RAM-Disk-Overlay installiert. Alternativ steht softwarebasiertes k-aus-n Shamirs Secret Sharing zur Verfügung.

                            • Vollständiger oder teilweiser Air-Gap-Betrieb möglich: Keine eingehenden Netzwerkverbindungen, keine lauschenden Dienste auf öffentlichen Interfaces. Datenimport/-export und Backup mit Standard-Tools der üblichen Betriebssysteme.

                            Use Cases

                            • Hochsichere Offline Root-CA: Dedizierter Air-Gap-Betrieb auf eigenem Gerät - die Root-CA kommt nur für geplante Zeremonien aus dem Tresor.

                              • Virtualisierungsbetrieb möglich: Als Alternative zu dedizierter Hardware kann die Umgebung auch mit gleicher Funktionalität in gängigen Virtualisierungsumgebungen betrieben werden.

                                • Geführte Key Ceremonies: Kundenspezifische Runbooks mit konkreten Handlungsanweisungen werden direkt in der Laufzeitumgebung angezeigt - Operateure arbeiten die Schritte per Copy & Paste ab.

                                  • CA-Generationswechsel ohne Risiko: Rollover auf eine neue CA-Generation mit einem einzigen Provisionierungsbefehl. CDP- und AIA-URIs werden automatisch generationsspezifisch erzeugt.

                                    • Mehrstufiger Schlüsselschutz: Wahl zwischen einfacher Passphrase, k-aus-n Secret Sharing (auch ohne HSM) oder HSM-geschützten Schlüsseln je nach Sicherheitsanforderung. Dasselbe Secret Sharing Set kann für mehrere CA-Instanzen verwendet werden.

                                      • Kundenspezifisches Customizing: Erweiterbare Architektur für individuelle Anforderungen wie Code-Signaturen, Schlüssel-Import/-Export auf Hardware-Tokens oder standortspezifische Workflow-Anpassungen.

                                        Details

                                        Architektur und Designprinzipien

                                        • "Plain Vanilla"-Ansatz für beste Langzeitstabilität: Linux-basiertes, einfach verständliches Basissystem mit wenigen, gut dokumentierten Kommandozeilentools.
                                        • Kommandozeilenbasierte Bedienung erlaubt 100 % reproduzierbare Ergebnisse.
                                        • Tools im Quellcode, offene Datenstrukturen, dateibasierte Datenhaltung ohne Datenbank, keine Abhängigkeit von proprietären Binär-Tools.

                                        Kryptografie

                                        • OpenSSL als kryptografische Basis für alle Zertifikats- und Schlüsseloperationen.
                                        • PQC-Unterstützung via OpenSSL mit Open Quantum Safe: liboqs (Bibliothek mit quantenresistenten Algorithmen) und oqs-provider (OpenSSL-Integration)
                                        • Herstellerunabhängige HSM-Integration über PKCS#11-Schnittstelle. Grundsätzlich werden alle HSMs mit PKCS#11-Treiber für Linux unterstützt. Erprobte Integration mit: Entrust nCipher nShield, Thales Luna, Utimaco u.trust und Securosys Primus.
                                        • Als Alternative zu einfach Passphrasen ist Shamir's Secret Sharing in einer Software-Implementation verfügbar: konfigurierbare k-aus-n Quoren mit passphrase-verschlüsselten Shares.

                                        Laufzeitumgebung

                                        • Kompaktes, bootfähiges Linux-Live-Image (ISO) für x86_64-Plattformen. Bootet von USB oder CD-ROM.
                                        • Einfache Softwareupdates durch Austausch des ISO-Images - Konfiguration und Daten bleiben auf dem Persistenz-Medium erhalten.
                                        • Daten-Persistenz über ein separates USB-Speichermedium oder ein anderes Block-Device. Optional mit LUKS-Verschlüsselung.
                                        • Datenimport/-export und Backup mit Standard-Tools der üblichen Betriebssysteme.
                                        • Betrieb auch als virtuelle Maschine möglich (ISO als virtuelles CD-ROM).

                                        Betrieb und Dokumentation

                                        • Kundenspezifische Runbooks mit konkreten Handlungsanweisungen zur Verwaltung aller Use Cases der Root-CA, direkt per Copy & Paste in der Laufzeitumgebung nutzbar.
                                        • Systeminformationsanzeige zeigt beim Booten: OpenSSL-Version, PQC-Status, Persistenz und HSM-Erkennung.
                                        • Offline-Betrieb ist empfohlen, aber Netzwerk-Konnektivität ist bei Bedarf möglich. (Per default keine eingehenden Verbindungen, keine öffentlich lauschenden Dienste.)

                                        Anpassbarkeit

                                        • Flexibel und reproduzierbar anpassbar durch .clcalive-Customizing: Dateien, Boot-Skripte und Shutdown-Hooks können ohne Neubau des ISO eingespielt werden.
                                        • Erweiterbare Konfiguration über clca.cfg.d/ - kundenspezifische Funktionen und Workflow-Erweiterungen als separate Konfigurationsdateien.
                                        • Vielfältige Optionen für komplexe Berechtigungsprozesse und vollständig schrittweise auditierbare Schlüsseloperationen.

                                        Lizenz

                                        • Die clca-Lizenz beinhaltet

                                          • die Lieferung des ISO-Images für die Laufzeitumgebung
                                          • Erstellung der kundenspezifischen Konfigurations-Templates für die CA-Umgebungen
                                          • Erstellung der kundenspezfischen Dokumentation ("Runbooks")

                                           

                                        Wartung und Support

                                        Support

                                        Sie möchten mehr über unsere Produkte erfahren
                                        oder eine Demo anfordern?

                                        Jetzt Kontakt aufnehmen

                                        PKI

                                        Infrastruktur

                                        Use-Cases

                                        Contact

                                        • Werner-Heisenberg-Str. 8
                                        • 85254 Sulzemoos
                                        • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
                                        • +49 8135 314 000-0
                                        © Whiterabbitsecurity