Service-Mesh-mTLS
Kurzlebige Workload-Certs für Kubernetes, Istio, Linkerd, Consul. SPIFFE/SPIRE-kompatible Ausstellung.
Säule 03
Deine eigene CA.
HSM-gestützt. Auditiert. Deins.
Öffentliche CAs können nicht ausstellen, was du hinter deinem Perimeter brauchst. Wir schon.
Key-Speicher
Nur HSM
Keys verlassen das Gerät nie
Audit
Drittpartei
Pro Release des Signing-Pfads
Ausstellung
ACME + EST
RFC 8555 und RFC 7030
Trust-Anchor
Deins
Eigener Root oder BYO-Root
Anwendungsfälle
Wofür Private PKI da ist.
Anwendungsfälle, in denen eine öffentlich vertrauenswürdige CA entweder nicht ausstellen kann (nicht-öffentliche Hostnamen, interne Systeme) oder schlicht der falsche Trust-Anchor ist.
Device-Identität
Workstations, Laptops, IoT, Netzwerk-Hardware. Ausstellen beim Provisioning, Heartbeat-Renewal, Revoke beim Offboarding.
Internes Code-Signing
Signierte Builds für interne CLI-Tools, Container-Images und Skripte, die deine Engineers mit erhöhten Rechten ausführen.
VPN-Client-Zertifikate
Workload- und Mensch-VPN-Auth ohne Shared Secrets. An deinen IdP gebunden, pro Gerät widerrufbar.
S/MIME für Mitarbeiter
Interne Mail-Signierung und -Verschlüsselung, gebunden an dein Directory. Neue CA/B-S/MIME-BR-Profile unterstützt.
Eigene Trust-Anchors
Bring deinen Offline-Root mit, oder roll mit uns einen neuen aus. Intermediate-Rotation ist Teil des Workflows.
Warum dieser Signer anders ist
Die Komponente mit der höchsten Schadensreichweite in deinem Stack.
Ein Bug im Signing-Pfad wird zur Fehlausstellung, und eine Fehlausstellung gegen einen Trust-Root, von dem Tausende deiner Services abhängen, ist ein Incident, von dem du dich in Wochen erholst. Wir behandeln es entsprechend.
01 · Eigenes Review
Jede Signing-Path-Änderung reviewed.
Kein Single-Engineer-Commit auf dem Signer. Zwei-Personen-Review mit ausdrücklicher Bestätigung, auch für Tippfehler.
02 · Drittpartei-Audit
Externes Audit vor jedem Release.
Unabhängiges Code-Review jedes Releases des Signing-Pfads. Bericht auf Anfrage an Enterprise-Kunden unter NDA.
03 · HSM-Isolation
Private Keys sehen niemals Software.
Alle Signing-Operationen passieren im HSM. Die Anwendung sieht nur die signierten Bytes zurück, niemals den Private Key, auch nicht im Speicher.
HSM-Integrationen
Bring das HSM, dem du schon vertraust.
PKCS#11 ist das Protokoll, das Gerät deine Entscheidung. Wir testen Out-of-the-box gegen drei HSM-Klassen, weitere auf Anfrage.
SoftHSM 2
Entwicklung und CI
YubiHSM 2
Kleiner Footprint, on-prem
PKCS#11-Cluster-HSMs
Thales Luna, Entrust nShield, Utimaco
Cloud-HSM
AWS CloudHSM, GCP Cloud HSM
Pilot-Programm
In Woche zwei eine interne CA aufsetzen.
Wir starten einen funktionsfähigen Signer auf SoftHSM, bringen ACME zu einem Workload und führen dich dann an das HSM heran, das du eigentlich nutzen willst.