Produkt
Blackfort Certificate Intelligence
Certificate Governance Pilot für Microsoft ADCS, Azure Key Vault & App Service sowie strukturierte Registerintegration für IKT-Drittanbieter- und OT-/IoT-Zertifikate. Blackfort entwickelt derzeit ein schlankes Verfahren zur Inventarisierung, Risikoanalyse und Governance – als Grundlage für DORA, NIS2 und Auditfähigkeit.
Positionierung
Nicht noch eine CA – sondern Transparenz über Ihre bestehenden Zertifikatsbestände.
Blackfort Certificate Intelligence ersetzt keine Microsoft-CA, keine öffentliche CA und keine Monitoring-Pipeline – es macht Bestand, Risiken und Governance interner ADCS-, Azure- und manuell erfasster Drittanbieter-/OT-Zertifikate quellsystem-übergreifend sichtbar.
Microsoft ADCS
Stellt interne Zertifikate aus. Liefert keinen konsolidierten Risiko-, Ablauf- oder Governance-Blick über die ausgestellten Zertifikate hinweg.
Azure / DigiCert
Cloud- und Public-CA-Plattformen liefern Zertifikate. Eine quellsystem-übergreifende Governance-Sicht inklusive interner ADCS-Bestände ist nicht Bestandteil.
PRTG / Monitoring
Überwacht einzelne Endpunkte und deren TLS-Ablauf. Sieht nicht, was die internen Quellen insgesamt ausgestellt haben oder wie es governance-seitig einzuordnen ist.
Blackfort Certificate Intelligence
Macht Bestand, Risiken, Templates, Ownership und Ablauffristen über ADCS, Azure und strukturiert erfasste Drittanbieter-/OT-Zertifikate sichtbar – als Basis für Governance, DORA, NIS2 und Audit.
Technischer Ansatz
Architektur & Datenfluss
Der Datenfluss ist bewusst schlank und für vorhandene Quellsysteme rein lesend. Für Azure werden ausschließlich Azure-APIs gegen Ihre Tenants abgefragt. Drittanbieter- und OT-/IoT-Zertifikate werden über strukturierte manuelle Erfassung ins gleiche Register überführt.
Quellsysteme & Erfassung
Im PilotumfangMicrosoft ADCS
Lesender Export
Azure Key Vault
API-Discovery
Azure App Service
API-Discovery
IKT-Drittanbieter
Strukturierter Import
OT / IoT
Manueller Erfassungsprozess
- 01
Export & Normalization
Lesender Export aus technischen Quellen, Normalisierung von Metadaten, Templates und Eigentümern; Konsolidierung gemeinsam mit manuell erfassten Drittanbieter- und OT-/IoT-Beständen.
- 02
Certificate Inventory
Konsolidiertes Inventar über alle Quellen hinweg – mit Status, Eigentümern, Verwendungszweck und Kennzeichnung des Quellsystems.
- 03
Risk & Expiry Analysis
Befunde zu Algorithmen, Schlüssellängen, Wildcards und Templates. Konfigurierbare Ablauf-Alerts pro Service-Klasse.
- 04
Governance Register
Aggregierte Sicht für Compliance-, Risk- und Infrastruktur-Verantwortliche – als Basis für DORA-, NIS2- und ISO 27001-Reviews.
- 05
Excel / Findings / Audit / Jira (geplant)
Audit-tauglicher Excel-/Registerexport heute. Jira-basierte Renewal-Workflows als geplante Integration.
Im Pilotumfang verfügbar
Was Blackfort Certificate Intelligence im Piloten liefert
Die folgenden Funktionen sind Bestandteil des aktuellen Piloten. Sie bilden bewusst nicht den Funktionsumfang eines vollständigen CLM ab – sondern den Pfad zu einer belastbaren, audit-tauglichen Sicht auf interne und Cloud-basierte Zertifikatsbestände, ergänzt um strukturiert erfasste Drittanbieter- und OT-/IoT-Bestände.
Pilot / MVP
Microsoft ADCS Export
Lesender Export ausgestellter Zertifikate aus bestehenden Microsoft-Zertifizierungsstellen.
Azure Key Vault Discovery
API-basierte Discovery von Zertifikaten in Azure Key Vault über Subscriptions hinweg.
Azure App Service Discovery
API-basierte Discovery von Zertifikaten an Azure App Services inkl. Custom Domains.
Lokales Zertifikatsinventar
Konsolidiertes Inventar über alle Quellen mit Metadaten, Templates, Ownership und Quellsystem-Kennzeichnung.
Excel-/Registerexport
Audit-tauglicher Export für DORA-Zertifikatsregister, NIS2- und ISO 27001-Reviews.
Konfigurierbare Ablauf-Alerts
Pro Service-Klasse konfigurierbare Eskalationsfenster für anstehende Zertifikatsabläufe.
Erste Risiko-/Governance-Findings
Strukturierter Export technischer Befunde zu Algorithmen, Wildcards, Templates und fehlender Ownership.
Strukturierter Drittanbieter-Import
Standardisierter manueller Import von Zertifikatsdaten externer IKT-Drittdienstleister in das Register.
OT-/IoT-Erfassungsprozess
Dokumentierter manueller Erfassungsprozess für OT-/IoT-Zertifikate mit direkter Registerintegration. Keine automatische OT-Discovery.
Integrationen & Roadmap
Pilot, Planned, Future
Die Roadmap trennt bewusst zwischen Pilotumfang, in Entwicklung befindlichen Integrationen und mittelfristig geplanten Erweiterungen. Verbindliche Aussagen zur Verfügbarkeit erfolgen ausschließlich im Rahmen konkreter Pilot- und Projektgespräche.
Microsoft ADCS
PilotLesender Export ausgestellter Zertifikate, Templates und Metadaten.
Azure Key Vault
PilotAPI-basierte Discovery über Subscriptions hinweg.
Azure App Service
PilotAPI-basierte Discovery inkl. Custom Domain Bindings.
IKT-Drittanbieter (Import)
PilotStrukturierter manueller Import von Drittanbieter-Zertifikatsdaten ins Register.
OT / IoT (Erfassungsprozess)
PilotDokumentierter manueller Erfassungsprozess mit Registerintegration. Keine automatische OT-Discovery.
Konfigurierbare Ablauf-Alerts
PilotPro Service-Klasse einstellbare Eskalationsfenster.
DigiCert
GeplantKonsolidierung öffentlicher Zertifikate gemeinsam mit ADCS-Beständen.
Jira API / Renewal Workflows
GeplantRenewal- und Governance-Tickets aus Findings in bestehende ITSM-Prozesse.
PRTG-Abgleich
GeplantAblauf-Findings an etablierte Monitoring-Pipelines übergeben.
AWS Certificate Manager
GeplantDiscovery öffentlicher Zertifikate in AWS-Accounts.
GCP Certificate Manager
GeplantDiscovery öffentlicher Zertifikate in Google-Cloud-Projekten.
Microsoft Defender Correlation
SpäterKorrelation mit Endpoint- und Identitäts-Telemetrie.
Wazuh / SIEM Export
SpäterAnbindung in bestehende SIEM- und Detection-Stacks.
Kubernetes / cert-manager
SpäterSichtbarkeit von Workload-Zertifikaten in Cluster-Umgebungen.
Netzwerk-Discovery Scanner
SpäterAktive Suche nach Zertifikaten außerhalb der bekannten Quellen.
ACME Governance
SpäterGovernance über ACME-basierte Zertifikatsausstellung.
Automatische Renewal-Prozesse
SpäterAutomatisierte Erneuerung über alle unterstützten Quellsysteme.
Mögliche Findings
Beispielhafte Governance- und Risiko-Findings
Die folgende Darstellung ist illustrativ und zeigt typische Befundtypen aus realen ADCS-, Azure- und Drittanbieter-/OT-Beständen – nicht den Live-Stand eines konkreten Kunden.
Illustration
Certificate Intelligence – Pilot-Ansicht (Demo)
Quellen-Aufschlüsselung
Zertifikat läuft in 14 Tagen ab
highCN=portal.intern.example • Template: WebServer-2016
Kritisches Zertifikat eines internen Portals ohne dokumentierte Renewal-Verantwortlichkeit.
Azure Key Vault: Ablauf in 21 Tagen
highkv-prod-eu / payment-api-cert
Cloud-Zertifikat einer zahlungsrelevanten API. Im Vault-Tag ist keine Renewal-Verantwortlichkeit hinterlegt.
Wildcard-Zertifikat entdeckt
highCN=*.intern.example • Multi-Service
Wildcard mit weitreichender impliziter Nutzung über mehrere Services hinweg.
App Service-Zertifikat ohne Service-Mapping
mediumas-prod-mobile-api.azurewebsites.net
App Service-Zertifikat ist nicht auf eine fachliche Service-Verantwortlichkeit gemappt.
Schwacher RSA-Schlüssel
mediumRSA 1024 • SHA-1
Ausgestelltes Zertifikat mit veralteter Schlüssellänge und schwachem Signaturalgorithmus.
Unbekanntes Template
mediumTemplate: legacy-internal-v3
Template wird produktiv genutzt, ist aber im internen Template-Review nicht dokumentiert.
Drittanbieter-Zertifikat ohne Owner
mediumProvider: payments-saas-vendor • manuell erfasst
Drittanbieter-Zertifikat wurde manuell ins Register aufgenommen, es ist aber keine interne Eskalations-Kontaktperson hinterlegt.
OT-Zertifikat ohne Renewal-Kontakt
mediumSite: Werk Süd • PLC-Cluster • manuell erfasst
OT-Zertifikat ist im Register erfasst, aber es ist keine technische Renewal-Verantwortlichkeit benannt.
Fehlende Ownership (Sammelposten)
low34 Zertifikate ohne Owner
Eine relevante Anzahl ausgestellter Zertifikate hat keine zugeordnete Verantwortlichkeit.
Fehlende Governance-Dokumentation
lowTemplate- und Enrollment-Berechtigungen
Template-Rechte und Enrollment-Konfiguration sind nicht aktuell dokumentiert.
Microsoft ADCS
Microsoft ADCS Governance sichtbar machen
Viele Unternehmen betreiben ihre Microsoft-Zertifizierungsstelle über Jahre hinweg ohne strukturierte Governance. Es entstehen gewachsene Zertifikatslandschaften, deren Bestand, Risiken und Ablauffristen niemand vollständig überblickt. Mit Azure Key Vault und Azure App Service kommen weitere Bestände hinzu, die governance-seitig oft nicht mit dem internen Register zusammengeführt sind.
Aufsichts- und Auditfragen treffen dann auf eine Realität, die sich nur mit erheblichem Aufwand rekonstruieren lässt. Ziel ist nicht Panikmache, sondern eine ruhige, audit-taugliche Sicht auf den tatsächlichen Bestand.
Was über Jahre oft fehlt
- Governance über ausgestellte Zertifikate
- Ownership und Verantwortlichkeiten
- Lifecycle-Transparenz und Ablaufübersicht
- Template-Review und Enrollment-Rechte
- Auditfähigkeit auf Anfrage
Assessment
Certificate Governance Pilot Assessment
Das Assessment liefert in einem klar abgegrenzten Vorgehen eine erste, belastbare Sicht auf Ihre relevanten Zertifikatsbestände aus Microsoft ADCS, Azure Key Vault, Azure App Service sowie strukturiert erfasste Drittanbieter- und OT-/IoT-Zertifikate. Der Ansatz ist für vorhandene Quellsysteme rein lesend – keine Templates werden verändert, keine Zertifikate ausgestellt oder revoziert.
Ergebnis ist ein konsolidiertes Register, eine technische Risiko- und Ablaufanalyse sowie eine Governance-Einordnung mit Management Summary – nutzbar für interne Reviews, DORA-/NIS2-Vorbereitung und ISO 27001-Audits.
Inhalte des Assessments
- Microsoft ADCS Export ausgestellter Zertifikate
- Azure Key Vault & Azure App Service Discovery
- Strukturierte Erfassung relevanter Drittanbieter-Zertifikate
- Manueller Erfassungsprozess für OT-/IoT-Zertifikate (Pilotumfang)
- Konsolidiertes Register und Ablaufanalyse
- Risiko- und Governance-Findings
- Konfiguration erster Ablauf-Alerts
- Management Summary und Audit-Export (Excel)
Warum Blackfort
Erfahrung in regulierten PKI-Umgebungen
Zertifikate sind technisch unscheinbar – und gleichzeitig tragender Bestandteil regulierter IT-Architekturen. Wir arbeiten seit vielen Jahren in genau dieser Schnittmenge aus Kryptographie, regulatorischer Erwartung und Betriebsrealität.
PKI-Erfahrung
Langjährige Projekterfahrung mit interner und ausgelagerter PKI in regulierten Umgebungen.
Regulierte Umgebungen
Arbeit mit Finanzunternehmen, KRITIS-Betreibern, Verwaltungen und Gesundheits-Infrastruktur.
Offizieller DigiCert-Partner
Etablierte Partnerschaft mit DigiCert für öffentliche Zertifikate und Trust-Services.
Verwaltungs-PKI & gematik
Erfahrung mit Verwaltungs-PKI und gematik-relevanten Architekturen im Gesundheitswesen.
Thales nShield Certified
Zertifizierter Security Expert für Thales nShield HSM – belastbare Schlüsselverwahrung.
DORA, NIS2, ISO 27001
Beratung entlang anerkannter Regulierungs- und Standardisierungsrahmen.
Deutsche On-Prem-Perspektive
Lokale Auswertung in Ihrer Umgebung – auch beim Zugriff auf Azure-Quellen über Ihre Tenants.
Häufige Fragen
Ist Blackfort Certificate Intelligence bereits ein vollständiges CLM-System?
Nein. Blackfort Certificate Intelligence ist kein vollständiges Certificate Lifecycle Management. Im aktuellen Pilotumfang verfügbar sind Microsoft ADCS Export, Azure Key Vault und Azure App Service Discovery, strukturierter Import für IKT-Drittdienstleister, ein manueller Erfassungsprozess für OT-/IoT-Zertifikate, konfigurierbare Ablauf-Alerts sowie ein audit-tauglicher Excel-/Registerexport. Automatische Renewal-Prozesse, agentenlose Netzwerk-Discovery und vollständige Enterprise-CLM-Plattformen gehören nicht zum aktuellen Stand.
Welche Cloud-Zertifikate unterstützt der Pilot heute?
Im Pilotumfang vorgesehen sind Azure Key Vault und Azure App Service Certificates. Beide werden über die jeweiligen Azure-APIs gegen Ihre Tenants und Subscriptions ausgewertet. AWS Certificate Manager und GCP Certificate Manager sind als geplante Integrationen vorgesehen, aber heute nicht Bestandteil des Piloten.
Wie werden IKT-Drittdienstleister berücksichtigt?
Für IKT-Drittdienstleister unterstützt der Pilot einen strukturierten manuellen Import in das Zertifikatsregister. Damit lassen sich Zertifikatsdaten externer Anbieter konsolidiert mit den eigenen Beständen ausweisen – inklusive Ablaufanalyse, Ownership und Governance-Findings. Eine automatische Discovery bei Drittanbietern ist nicht Bestandteil des MVP.
Wie werden OT-/IoT-Zertifikate berücksichtigt?
Für OT- und IoT-Umgebungen ist zunächst ein dokumentierter manueller Erfassungsprozess mit Registerintegration vorgesehen. So lassen sich auch Zertifikate aus Bereichen abbilden, die regulatorisch relevant, aber technisch oft nicht direkt scanbar sind. Automatische OT-/IoT-Discovery ist nicht Bestandteil des Piloten.
Gibt es konfigurierbare Ablauf-Alerts?
Ja. Pro Service-Klasse können Eskalationsfenster konfiguriert werden – etwa 90 Tage für kritische externe Services, 30 Tage für interne Standardservices. Damit lassen sich Ablaufrisiken differenziert sichtbar machen.
Werden automatisch Jira-Tickets erstellt?
Im aktuellen Stand nicht. Jira-basierte Renewal-Workflows sind als geplante Integration vorgesehen; Findings und Ablauf-Alerts werden heute strukturiert exportiert (Excel/CSV) und können manuell in bestehende ITSM-Prozesse übernommen werden.
Unterstützt das bereits DigiCert?
Eine DigiCert-Integration ist auf der Roadmap, aktuell aber nicht Bestandteil des Piloten. Blackfort ist offizieller DigiCert-Partner; perspektivisch sollen ausgestellte DigiCert-Zertifikate gemeinsam mit ADCS- und Azure-Beständen im Register ausgewertet werden.
Muss dafür eine Cloud genutzt werden?
Nein. Die Auswertung läuft in Ihrer Umgebung. Für Azure-Datenquellen werden ausschließlich Azure-APIs gegen Ihre eigenen Tenants und Subscriptions abgefragt – es entsteht keine zusätzliche Drittplattform, die Ihre Zertifikatsdaten persistieren würde.
Wird die Microsoft CA verändert?
Nein. Der Ansatz bleibt für die Microsoft CA rein lesend. Es werden Daten exportiert und ausgewertet; es werden keine Templates geändert, keine Zertifikate ausgestellt oder revoziert und keine produktiven Einstellungen modifiziert.
Reicht PRTG nicht aus?
PRTG kann einzelne Endpunkte und deren TLS-Zertifikate sehr gut überwachen. Was PRTG nicht liefert, ist eine quellsystem-übergreifende Governance-Sicht auf alle ausgestellten Zertifikate aus ADCS und Azure inklusive Templates, Algorithmen und Wildcard-Nutzung. Ein PRTG-Abgleich ist als geplante Integration vorgesehen.
Unterstützt das auch Linux oder Kubernetes?
Der initiale Fokus liegt auf Microsoft ADCS, Azure Key Vault und Azure App Service sowie auf strukturiert erfassten Drittanbieter- und OT-/IoT-Beständen. Linux-/Kubernetes-Szenarien (cert-manager, ACME, Workload-Zertifikate) sind auf der weiteren Roadmap, aber heute nicht Bestandteil des Piloten.
Ist das für DORA oder NIS2 vorgeschrieben?
Nein. Verpflichtend sind DORA, NIS2 und vergleichbare Regulierungen selbst – nicht ein bestimmtes Produkt. Blackfort Certificate Intelligence ist ein Werkzeug, um die in DORA Art. 7 Abs. 4 RTS, NIS2 und ISO 27001 geforderte Governance- und Inventarfunktion für Zertifikate praktisch umzusetzen.
Kontakt aufnehmen
Sie nutzen ADCS, Azure-Zertifikate oder erfassen Drittanbieter-Zertifikate – und wollen sehen, was wirklich im Umlauf ist?
Blackfort sucht Unternehmen für frühe Pilot- und Assessment-Projekte rund um quellsystem-übergreifende Certificate Governance. Lassen Sie uns ein erstes Pilotgespräch vereinbaren.