Warum PKI-Automation heute Pflicht ist
Digitale Signaturen und S/MIME/PGP-Verschlüsselung sind für KRITIS-Organisationen, Krankenhäuser, Forschungseinrichtungen und Zulieferer essentiell. Doch der manuelle Zertifikatsprozess erzeugt Pain-Points:
• Helpdesk muss CSRs erstellen, Trustcenter-Portale bedienen, PFX verteilen.
• Zertifikate laufen ab → "E-Mail konnte nicht signiert/entschlüsselt werden".
• Widerruf bei Personalwechsel dauert Tage.
• Keine Transparenz über Gültigkeit, Algorithmen, Revocation-Status.
mail:u secure automatisiert den kompletten Lebenszyklus von S/MIME/PGP-Zertifikaten & Schlüsselmaterial – ohne Zutun der Fachabteilungen.
Funktionsumfang im Überblick
| Modul | Aufgabe | Nutzen für sichere Datenübertragung |
|---|---|---|
| Enrollment-Service | Beantragt neue Zertifikate bei Trust-Centern via SCEP, ACME, REST-API | Zero-Touch-Provisioning für Mitarbeitende |
| Renew-Daemon | Verlängert bevorstehende Abläufe (< 30 Tage) automatisch | Keine "Zertifikat abgelaufen"-Mails mehr |
| Revocation-Engine | Widerruft Keys bei Offboarding oder Incident | Schnelle Reaktion bei Diebstahl/Loss |
| Directory-Sync | Liest AD / Entra ID / LDAP-Gruppen, generiert CSR | Rollen-based Zertifikats-vergabe |
| Reporting-Dashboard | Live-Status, Algorithmen, Laufzeiten, SHA-Fingerprints | ISO- & KRITIS-Audit auf Knopfdruck |
Unterstützte Trust-Center & Algorithmen
D-TRUST
SwissSign
Sectigo
Telekom Trust Center
Eigen-CA / Microsoft ADCS
Typische PKI-Workflows
Auto-Enrollment via Entra ID
Benutzer tritt Gruppe MailEncrypt_Prod bei.
Directory-Sync löst CSR-Generierung aus.
Enrollment-Service erhält neues Zertifikat von D-TRUST.
Zertifikat & privater Key werden in Gateway-Keystore abgelegt.
Mail-Client kann sofort verschlüsseln & signieren.
Renew ohne Unterbrechung
60 Tage vor Ablauf → Renew-Daemon initiiert Neuausstellung, keystore wird atomar ersetzt, alter Key bleibt 30 Tage parallel gültig.
Sofort-Widerruf bei Incident
HR- oder SOC-System ruft REST-Endpoint /revoke/ auf.
Sperrt privaten Key.
Meldet Widerruf ans Trust-Center.
Aktualisiert Gateway-CRL & OCSP-Cache, notifiziert Admin & Compliance-Officer.
Compliance-Mapping
| Vorgabe | PKI-Automation Mehrwert |
|---|---|
| DSGVO Art. 32 | Kryptografie state of the art, Key-Lifecycle dokumentiert |
| NIS2 | Schlüsselverwaltung und Revocation-Zeit ≤ 24 h |
| ISO 27001 Annex 10.1 | Automatisierte Zertifikats-Ausstellung & -Erneuerung |
| B3S Gesundheitswesen | Schutzbedarf "hoch": Schlüssel im HSM, 2-FA Admin |
| IT-SiG 2.0 (§8a) | Nachweisbarer PKI-Prozess, Audit-Trails, Alarming |
Technischer Deep-Dive
Service-Architektur
Container-Cluster, Microservice "pki-enroller", "renew-daemon", "revoker", REST-Gateway.
Sicherheit
Admin-Portal nur per MFA, Role-Based-Access (Issuer-Admin, Auditor, Viewer).
Performance
Parallel-Enrollment > 500 Zertifikate/Std., Renew-Batch via Queue, ACME-support.
Nahtlose Integration
Migration & Interoperabilität
Die PKI-Automation unterstützt die Migration bestehender Zertifikatsbestände und gewährleistet Interoperabilität mit verschiedenen Systemen und Plattformen.
• Migrationsskript: Konvertiert Passphrase-beschützte PFX in Gateway-Keystore
• CRL-Cache-Sync: Synchronisation mit bestehenden Mail-Appliances für Hybrid-Betrieb
Die Migration erfolgt ohne Unterbrechung des laufenden Betriebs und stellt sicher, dass alle bestehenden Zertifikate nahtlos integriert werden.
'%3e%3ccircle%20cx='493.5'%20cy='493.5'%20r='249.5'%20fill='url(%23paint0_linear_144_957)'/%3e%3c/g%3e%3cdefs%3e%3cfilter%20id='filter0_f_144_957'%20x='0'%20y='0'%20width='987'%20height='987'%20filterUnits='userSpaceOnUse'%20color-interpolation-filters='sRGB'%3e%3cfeFlood%20flood-opacity='0'%20result='BackgroundImageFix'/%3e%3cfeBlend%20mode='normal'%20in='SourceGraphic'%20in2='BackgroundImageFix'%20result='shape'/%3e%3cfeGaussianBlur%20stdDeviation='122'%20result='effect1_foregroundBlur_144_957'/%3e%3c/filter%3e%3clinearGradient%20id='paint0_linear_144_957'%20x1='371.5'%20y1='477.5'%20x2='680'%20y2='363'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23E42FE8'/%3e%3cstop%20offset='0.265625'%20stop-color='%236FCBFE'/%3e%3cstop%20offset='0.494792'%20stop-color='%239FB4FC'/%3e%3cstop%20offset='0.776042'%20stop-color='%23B7E4BB'/%3e%3cstop%20offset='1'%20stop-color='%236CF760'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)