Automatizujte životní cyklus certifikátů pomocí KeyTalk

30.6.2021 | Jindřich Zechmeister

KeyTalk je software od stejnojmenné nizozemské firmy a může vám ušetřit nekonečné hodiny, které nyní věnujete získání a nasazení certifikátů. Také vám pomůže snadno přejít na S/MIME certifikáty a bez větších obtíží zabezpečit všechny vaše zaměstnance. Tento článek má za cíl ukázat hlavní přednosti Keytalku.

Automatizace

Představujeme KeyTalk

KeyTalk výrobce definuje jako Certificate Key Management System (CKMS). Jinak řečeno slouží pro správu životního cyklu certifikátů a klíčů.

Tento nenápadný produkt má široké možnosti použití a dokáže automatizovat kompletní proces získání certifikátu včetně jeho nasazení na server či pracovní stanici. Můžete ho využít pro různé typy certifikátů či si vytvořit vlastní interní certifikační autoritu.

DigiCert je spolu s námi technologickým partnerem KeyTalku a jejich služby vám rádi zprostředkujeme.

Konzultace, získání, nasazení a licencování KeyTalku totiž probíhá přes partnery jako jsme my, kteří vám pomohou řešení aktivovat a nastaví základní provoz.

Prostředí KeyTalk serveru
Prostředí KeyTalk serveru. Klikněte pro zvětšení.

Možnosti provozování KeyTalku

KeyTalk můžete rozjet na vlastním fyzickém serveru či v cloudu; stačí si z webu výrobce stáhnout image a ten spustit. Dostanete již plně nakonfigurovaný linuxový server (Ubuntu) a stačí vám dokončit instalaci KeyTalku přes webové rozhraní. Přes něj probíhá i správa a administrace serveru.

Kromě serveru s běžícím KeyTalkem budete také potřebovat nějakou databázi. Nejsnazší způsob je využití MySQL databáze přímo na KeyTalk serveru, kde už je pro usnadnění k dispozici (localhost), pro vyšší dostupnost ale výrobce doporučuje využít více serverů (MySQL cluster) a load balancer.

KeyTalk také nově existuje jako SaaS, tedy jako služba. Při tomto způsobu použití odpadá nutnost provozování a administrace celého serveru (on-premise).

V každém případě budete potřebovat licenční soubor, který vám zařídíme, a také napojení na CA (pro získání důvěryhodných certifikátů). KeyTalk je univerzální řešení fungující nezávisle na existujících CA, ale v našem případě předpokládáme napojení na API DigiCertu.

KeyTalk může sloužit jako alternativa HSM, což se hodí zejména menším firmám, nebo se může připojit k již existujícím HSM a využívat tyto. Na výběr dává Thales Luna Cloud či Network HSM a Utimaco CryptoServer LAN and Cloud.

Získání důvěryhodných certifikátů pomocí KeyTalku

KeyTalk server potřebuje pro automatizaci znát odpověď na dvě otázky:

  • kde vzít údaje o uživatelích a kam ukládat certifikáty (například interní DB, Active Directory, LDAP, Azure)
  • u jaké CA má vydat certifikáty (DigiCert, QuoVadis, vlastní CA, atd)
Při nastavení těchto dvou základních aspektů může Keytalk fungovat jak pro vydávání osobních, tak i serverových certifikátů. Server se stará o prodlužování a instalaci navazujících certifikátů, takže při správném použití vše plně zautomatizuje.

Doplňkem pro serverovou část jsou klienti pro desktop - KeyTalk Client podporuje všechny hlavní platformy a chytré telefony. Klientská aplikace slouží pro připojení k vašemu KeyTalk serveru, získání (stažení certifikátu) a jeho uložení do úložiště certifikátů daného stroje. Tím však možnosti nasazení certifikátů zdaleka nekončí.

Tato jednoduchá aplikace umí například získat, stáhnout a nastavit S/MIME certifikát do Outlooku či smartphone. Uživatel počítače tak nemusí nic dělat a administrátor mu nemusí nic lokálně nastavovat! Životní cyklus aplikace řídí server, takže certifikáty včas prodlužuje a klient následně automaticky instaluje.

Další funkce

Správa certifikátů není žádná legrace a ve všem musí být řád; musí být jasně dohledatelné kdo o certifikát žádal, kdo ho používá, jak dlouho platí, kolik certifikátů organizace využívá... KeyTalk myslí i na tyto aspekty a nabízí sekci Reporting.

Nesmí chybět logování - čtyři samostatné záznamy (rozdělené podle zaměření) najdete přímo ve webové administraci a poslouží vám zejména při počátečním nastavování KeyTalku.

Snadno si zobrazíte seznam uživatelů, všechny vydané certifikáty, atd. Nechybí ani možnost posílání upozornění.

Prostředí KeyTalk serveru
Prostředí KeyTalk serveru. Klikněte pro zvětšení.

Licencování a cena

Zaujal vás výše zmíněný příklad? To jsme rádi a jsme připraveni vám poskytnout více informací. Stačí nám sdělit velikost vaší firmy, technologické prostředí, zdali používáte Active Directory a jaký je váš hlavní cíl, který chcete s automatizací dosáhnout.

Výhodou KeyTalku je dobrá dostupnost i pro menší a střední firmy. Podobné produkty jsou pro běžné firmy příliš "velké" a drahé, protože se zaměřují na velké korporace a v důsledku znemožňují běžným firmám jejich využití. KeyTalk je výjimkou a je naopak díky nízkým fixním nákladům a licencování per uživatel dostupný.

Kromě roční licence za server platíte za jednotlivé uživatele. Uživatel platí roční poplatek za zařízení a cenu za důvěryhodný certifikát od DigiCertu. SaaS model je jednodušší, v ceně za uživatele je už důvěryhodný certifikát úrovně Class 2, poplatek za serverovou licenci, licence KeyTalk LDAP serveru. Tedy vše v jednom.

Držitel certifikátu ho může používat až na 10 zařízeních (mobil, PC, tablet).

Rádi vám uděláme nezávislou kalkulaci

Pokud máte zájem o nezávislou kalkulaci, tak nám napište. Své dotazy směřujte na e-mail info(at)sslmarket.cz a rádi se vám ozveme.

Predch. článok
Ďalší článok
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz