Was du nicht siehst, kannst du nicht erneuern. Discovery ist der Startpunkt jeder NextPKI-Einführung.
Keine einzelne Quelle sieht alles. Wir betreiben alle vier und deduplizieren die Überschneidung. Ein fehlendes Zertifikat müsste also gleichzeitig im Netzwerk, in der Cloud, in den CA-Portalen und in den öffentlichen Logs unsichtbar sein. Das ist selten der Fall.
Ein kleiner Agent, der die von dir konfigurierten CIDR-Bereiche durchgeht, TLS-Handshakes an offenen Ports ausführt und die gefundenen Zertifikate meldet. Läuft in deinem Netz, spricht nur mit deinem NextPKI-Tenant über Mutual TLS.
Read-only-API-Integrationen mit den Cloud-Zertifikatsspeichern, die du ohnehin nutzt. Wir ziehen, was ausgestellt ist, was an Load Balancer gebunden ist und was bald abläuft.
Jedes Zertifikat, das du je bei einer öffentlichen CA bestellt hast, taucht im CA-Portal auf. Wir holen dieses Inventar per CA-API: alte Orders, ablaufende Orders und Bestellungen von anderen auf demselben Account werden sichtbar.
Jedes TLS-Zertifikat einer öffentlich vertrauenswürdigen CA landet in einem CT-Log. Wir beobachten die Logs durchgehend auf Ausstellungen gegen deine Domains: auch ein Zertifikat, das jemand ohne deine Kenntnis bestellt hat, taucht innerhalb von Minuten auf.
Genug, um darüber zu entscheiden, nie den Private Key. Jedes Cert im Inventar trägt die öffentliche Metadaten-Seite plus die Orte, an denen wir es tatsächlich gesehen haben.
{ "common_name": "api.acme.eu", "sans": ["api.acme.eu", "v2.api.acme.eu"], "issuer": "Let's Encrypt R10", "not_after": "2026-06-08T07:14:22Z", "days_left": 14, "key": "ECDSA P-256", "sig_alg": "ecdsa-with-SHA256", "seen_at": [ { "source": "sensor", "endpoint": "10.4.7.12:443" }, { "source": "aws-acm", "arn": "...alb-prod" }, { "source": "ct-log", "log": "Argon 2026" } ] }
Der Sensor läuft in deinem Netzwerk: also der Teil von NextPKI, den dein Security-Team am gründlichsten prüfen wird. Das Design ist entsprechend optimiert.
Quellcode ist öffentlich. Dein Security-Team kann ihn lesen, forken, auditieren, einen eigenen Build laufen lassen und das tatsächlich deployte Binary verifizieren.
Der Sensor hält, parst oder überträgt niemals einen Private Key. Er öffnet TCP-Verbindungen, schließt den TLS-Handshake ab und inspiziert die öffentliche Seite. Mehr nicht.
Der Sensor öffnet eine ausgehende Mutual-TLS-Verbindung zu NextPKI. Keine eingehenden Ports. Bootstrap ist ein One-Shot-Token, skopiert auf einen einzigen Tenant.
Bis zu 25 000 Endpunkte. Inventar als CSV plus Audit-Report. Gehört dir, ohne Verpflichtung.
