Suchen

Authentifizierung und Compliance in der mobilen IT

Client-Zertifikate fürs Mobile Device Management

Seite: 2/2

Firma zum Thema

Zusammenspiel von Certification Authority und MDM-System

Der Aufbau einer PKI gehört in Zeiten der mobilen IT zum Pflichtprogramm. Konnten die Unternehmen zu PC-Zeiten Zertifikate noch von einschlägigen Lieferanten wie Verisign zukaufen, kommen sie heute um Know-how im Zertifikate-Management nicht herum.

Ganz gleich, ob die CA des Mobile Device Management-Systems benutzt wird oder die schon vorhandene unternehmenseigene CA: die digitalen Zertifikate für Tausende oder zuweilen auch zehntausende von mobilen Clients müssen nicht nur erstellt und verteilt, sondern regelmäßig auf ihre Echtheit beziehungsweise zeitliche Gültigkeit geprüft werden,

Gefälschte Zertifikate müssen erkannt und in Widerrufslisten gesammelt werden, auf die dann zu Prüfzwecken zugegriffen wird. Nicht zuletzt hat eine solche Infrastruktur die Zertifizierungshierarchie bis hin zur Basiszertifizierungsstelle (Root CA) klar abzubilden.

Automatische Zertifikatsverwaltung

Im praktischen Unternehmenseinsatz wird eine manuelle Verwaltung von Zertifikaten schnell zu aufwändig. Nach der Erzeugung der Zertifikate durch die Basiszertifizierungsstelle würde bei manueller Verwaltung ein PKCS#12- Container (pfx-Datei) erzeugt und an den Nutzer übermittelt werden.

Für das Lesen der Datei ist aus Sicherheitsgründen ein eigenes Passwort ratsam. Schon dadurch wird der Workflow im Unternehmen empfindlich gestört. Die danach anstehende (händische) Übernahme der Datei in das Mobile Device Management (MDM-System) erhöht noch einmal die Störungsanfälligkeit der Abläufe.

Der Personal- und Zeitaufwand bei einer manuellen Zertifikatsverwaltung dürfte schon bei 50 zu verwaltenden mobilen Endgeräten betriebswirtschaftlich kaum noch sinnvoll sein. Bei mehreren Hundert oder gar Tausenden von Geräten ist auf jeden Fall automatisches Handling angesagt.

Dabei beantragt das MDM-System die Zertifikate – beispielsweise für die Anmeldung am Exchange Server – automatisch über das Simple Certificate Enrollment Protocol (SCEP) bei der CA. Diese werden dann heruntergeladen, innerhalb des automatischen Workflow auf die mobilen Endgeräte ausgerollt und mit Konfigurationen und den Sicherheitsrichtlinien des Unternehmens verknüpft.

Entsprechende Abläufe gelten auch bei der Konfiguration von WLAN (Wi-Fi), VPN oder ActiveSync und sind mittlerweile bei vielen MDM-Anbietern standardmäßig in das Mobile Device Management integriert. Zertifikate-Management ist also weit mehr als das Erzeugen und Ausbringen von Zertifikaten; letztlich geht es um sichere und intuitiv gestaltete Prozesse zur Authentifizierung, zur Verschlüsselung oder zum Aufbau von sicheren Datenübertragungsverbindungen (VPN).

MDM vereinheitlicht das Zertifikate-Handling

„Mobile Device Management“-Systeme haben bei der Vereinheitlichung des Zertifikate-Managements eine wichtige Funktion. Denn die mobilen Betriebssysteme – von Blackberry über iOS und Android bis zu Windows Phone 7 und 8 – sind beim Einsatz und beim Management von Zertifikaten alles andere als homogen.

Ein Mobile Device Management-System sorgt für Ordnung in der Plattformvielfalt, indem es für das Zertifikate-Management als Proxy-Server fungiert, der die erste und einzige Schnittstelle für die CA bildet und das unterschiedliche Funktionsangebot der Betriebssysteme für den Administrator und Benutzer transparent macht.

Über den Autor

Christof Baumgärtner ist Director Zentral- und Osteuropa und Leiter der deutschen MobileIron-Niederlassung in München.

(ID:42275107)