
Produkt
Blackfort Certificate Intelligence
Rein lesendes Multi-CA-Zertifikatsinventar mit Governance: fünf CA-Connectoren (ADCS, EJBCA, HashiCorp Vault PKI, step-ca, Azure Key Vault), eigener TLS-Scanner, CT-Log-Monitoring und Air-Gap-Import – ohne private Schlüssel. Mit Sperrstatus, DORA-Auswertungen, RBAC und Audit-Trail als Container oder OVA.
Kompakter Produktüberblick als Foliensatz – alle Quellen, Felder und Auswertungen auf einen Blick.
Positionierung
Nicht noch eine CA – sondern Transparenz über Ihre bestehenden Zertifikatsbestände.
Blackfort Certificate Intelligence ersetzt keine CA und keine Monitoring-Pipeline – es macht Bestand, Risiken, Sperrstatus und Governance über fünf CA-Plattformen, TLS-Scan, CT-Log und Air-Gap-Import quellsystem-übergreifend sichtbar. Rein lesend, ohne private Schlüssel.
Microsoft ADCS
Stellt interne Zertifikate aus. Liefert keinen konsolidierten Risiko-, Ablauf- oder Governance-Blick über die ausgestellten Zertifikate hinweg.
Azure / DigiCert
Cloud- und Public-CA-Plattformen liefern Zertifikate. Eine quellsystem-übergreifende Governance-Sicht inklusive interner ADCS-Bestände ist nicht Bestandteil.
PRTG / Monitoring
Überwacht einzelne Endpunkte und deren TLS-Ablauf. Sieht nicht, was die internen Quellen insgesamt ausgestellt haben oder wie es governance-seitig einzuordnen ist.
Blackfort Certificate Intelligence
Macht Bestand, Risiken, Sperrstatus, Ownership und Ablauffristen über fünf CA-Plattformen, TLS-Scan, CT-Log und Air-Gap sichtbar – rein lesend, ohne Private Keys, als Basis für Governance, DORA, NIS2 und Audit.
Technischer Ansatz
Architektur & Datenfluss
Der Datenfluss ist bewusst schlank und rein lesend. Schlanke Exporter pro CA-Plattform schreiben in ein stabiles, versioniertes Austauschformat (exchange-v1); die Logik lebt zentral im Web-Register. SHA-256-Fingerprint als Primärschlüssel, Import als Upsert/Merge – niemals werden private Schlüssel verarbeitet.
Quellsysteme & Erfassung
VerfügbarMicrosoft ADCS
CA-Connector (lesend)
EJBCA
CA-Connector (lesend)
HashiCorp Vault PKI
CA-Connector (lesend)
smallstep step-ca
CA-Connector (lesend)
Azure Key Vault
CA-Connector (lesend)
TLS-Scanner
Lesender Abruf je host:port
CT-Log-Monitoring
Öffentlich vertraute Zertifikate (extern)
Air-Gap-Datei-Import
Isolierte Segmente
- 01
Lesendes Erfassen
Schlanke Exporter pro CA-Plattform, TLS-Scanner, CT-Log-Monitoring und Air-Gap-Import liefern ausschließlich öffentliche Zertifikatsteile und Metadaten – niemals private Schlüssel.
- 02
Normalisierung (exchange-v1)
Alle Quellen schreiben in ein stabiles, versioniertes JSON-Schema-Austauschformat. SHA-256-Fingerprint als Primärschlüssel, Import als Upsert/Merge – nie Replace.
- 03
Zentrales Register
Konsolidiertes Inventar über alle Quellen hinweg – technische, Governance- und Provenienz-Felder, Quellklasse managed / external / mixed.
- 04
Compliance-Intelligenz
Ablauf-Eskalation, schwache Krypto, self-signed, Wildcard, Key-Reuse, Waisen; Sperrstatus über CRL/OCSP, Ketten-/Trust-Auflösung, append-only Audit-Trail.
- 05
Auswertung & Ausgabe
DORA-Auswertungs-Views, XLSX-/CSV-Export, Teams-Benachrichtigungen und Soft-Archiv – nutzbar für DORA-, NIS2- und ISO 27001-Reviews.
Verfügbarer Funktionsumfang
Was Blackfort Certificate Intelligence heute liefert
Die folgenden Funktionen sind verfügbar und am PKI-Testlab validiert. Sie bilden bewusst kein vollständiges Certificate Lifecycle Management mit automatischen Renewals ab – sondern eine belastbare, audit-taugliche Governance-Sicht über mehrere CA-Plattformen hinweg, rein lesend und ohne private Schlüssel.
Rein lesend · kein Private Key
5 CA-Connectoren
Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca und Azure Key Vault – rein lesend, am PKI-Testlab validiert.
Eigener TLS-Scanner
Schlanker, rein lesender Zertifikatsabruf je host:port. Kein Cipher-Probing, kein Eingriff in produktive Dienste.
CT-Log-Monitoring
Überwachung öffentlich vertrauter Zertifikate Ihrer Domänen über Certificate-Transparency-Logs – klar als „extern“ gekennzeichnet.
Air-Gap-Datei-Import
Erfassung aus isolierten Netzsegmenten per Datei-Import – auch ohne Netzverbindung ins zentrale Register.
Zentrales Zertifikatsinventar
Konsolidiertes Register über alle Quellen mit SHA-256-Fingerprint als Schlüssel; Upsert/Merge erhält Governance-Felder.
Governance-Datenmodell
Kritische / wichtige Funktion, verantwortliche Stelle, Funktion / Prozess, Verwaisung und freie Custom-Spalten je Zertifikat.
Sperrstatus (CRL & OCSP)
Rein lesende Prüfung über CRL (CDP) und OCSP (AIA) inkl. Spalte „widerrufen, aber aktiv“.
Ketten- & Trust-Auflösung
Auflösung von Zertifikatsketten und Trust-Beziehungen über AKI / SKI.
Compliance-Findings
Schwache Krypto (RSA < 2048 / SHA-1), self-signed auf kritischer Funktion, Wildcard, Key-Reuse (geteilter SPKI) und Waisen.
DORA-Auswertungs-Views
Vorbereitete Schnellfilter und Sichten für DORA-relevante Auswertungen über den Gesamtbestand.
Ablauf-Eskalation nach Service-Klasse
Konfigurierbare Eskalationsfenster je Service-Klasse – Ablaufrisiken werden differenziert nach Kritikalität sichtbar gemacht.
Teams-Benachrichtigungen
Konfigurierbare Schwellen und Toggles sowie optionaler Tages-Digest direkt in Microsoft Teams.
RBAC, Audit-Trail & Soft-Archiv
Web-Login mit Rollen (admin / viewer), append-only Audit-Trail und reversibles, auditiertes Soft-Archiv statt hartem Löschen.
Produkt in Aktion
Die echte Oberfläche von Certificate Intelligence
Die folgenden Ansichten stammen aus der laufenden Anwendung. Inventar, Governance-Felder, DORA-Schnellfilter, Sperrstatus und die zentrale Agenten-Verwaltung – so sieht das zentrale Web-Register aus.





Hinweis: Alle dargestellten Daten sind synthetisch (Beispiel-Domains wie example.com / demo.internal) und zeigen ausschließlich die Oberfläche, nicht reale Kundenbestände.
Datenmodell
Das Datenmodell: drei Feldklassen
Jedes Zertifikat trägt drei klar getrennte Feldklassen. Technische Felder kommen unverändert aus dem Zertifikat, Governance-Felder werden gepflegt, Provenienz-Felder zeigen, wie aktuell ein Eintrag ist.
Technische Felder
immutableDirekt aus dem Zertifikat geparst: Subject, Issuer, Gültigkeit, Schlüssel/Algorithmus, SANs, Seriennummer, Fingerprint. Unveränderlich.
Governance-Felder
editierbarUnterstützt eine kritische / wichtige Funktion, verantwortliche Stelle, Funktion / Prozess, Verwaisungs-Markierung sowie frei definierbare Custom-Spalten.
Provenienz
getrennt geführtZuletzt importiert und zuletzt gesehen werden getrennt geführt – sichtbar, ob ein Zertifikat aktiv weiter beobachtet wird oder nur historisch im Register liegt.
Betrieb & Auslieferung
Läuft in Ihrer Umgebung
Container & VM-Appliance
Auslieferung als Docker Compose (Air-Gap-tauglich) und als VM-Appliance (OVA). Installation in Ihrer Umgebung.
Zwei Agent-Ausgabemodi
HTTPS-Push mit Token oder Air-Gap-Datei-Export. Agenten werden zentral im Frontend verwaltet – Token erzeugen, sperren, rotieren.
XLSX-/CSV-Export
Audit-tauglicher Export für Zertifikatsregister, Reviews und Übergabe in bestehende Prozesse.
Mögliche Findings
Beispielhafte Governance- und Risiko-Findings
Die folgende Darstellung ist illustrativ und zeigt typische Befundtypen aus realen ADCS-, Azure- und Drittanbieter-/OT-Beständen – nicht den Live-Stand eines konkreten Kunden.
Illustration
Certificate Intelligence – Beispiel-Auswertung (Demo)
Quellen-Aufschlüsselung
Zertifikat läuft in 14 Tagen ab
highCN=portal.intern.example • Template: WebServer-2016
Kritisches Zertifikat eines internen Portals ohne dokumentierte Renewal-Verantwortlichkeit.
Azure Key Vault: Ablauf in 21 Tagen
highkv-prod-eu / payment-api-cert
Cloud-Zertifikat einer zahlungsrelevanten API. Im Vault-Tag ist keine Renewal-Verantwortlichkeit hinterlegt.
Wildcard-Zertifikat entdeckt
highCN=*.intern.example • Multi-Service
Wildcard mit weitreichender impliziter Nutzung über mehrere Services hinweg.
Widerrufen, aber noch aktiv
highOCSP: revoked • Endpunkt liefert Zertifikat weiter aus
Zertifikat ist laut OCSP gesperrt, wird über einen erreichbaren Endpunkt aber weiterhin präsentiert.
Schwacher RSA-Schlüssel
mediumRSA 1024 • SHA-1
Zertifikat mit veralteter Schlüssellänge und schwachem Signaturalgorithmus auf einer wichtigen Funktion.
Key-Reuse über mehrere Zertifikate
mediumGeteilter SPKI • 6 Zertifikate
Mehrere Zertifikate teilen denselben öffentlichen Schlüssel (SPKI) – ein kompromittierter Schlüssel beträfe alle.
Self-signed auf kritischer Funktion
mediumCN=demo.internal • selbstsigniert
Selbstsigniertes Zertifikat ist einer als kritisch markierten Funktion zugeordnet.
CT-Log: unbekanntes externes Zertifikat
mediumorigin_class: external • *.example.com
Über Certificate Transparency wurde ein öffentlich vertrautes Zertifikat einer überwachten Domäne entdeckt, das nicht im managed-Bestand liegt.
Fehlende Ownership (Sammelposten)
low34 Zertifikate ohne Owner
Eine relevante Anzahl ausgestellter Zertifikate hat keine zugeordnete Verantwortlichkeit.
Fehlende Governance-Dokumentation
lowTemplate- und Enrollment-Berechtigungen
Template-Rechte und Enrollment-Konfiguration sind nicht aktuell dokumentiert.
Gewachsene PKI
PKI-Governance über alle CAs sichtbar machen
Viele Unternehmen betreiben ihre Zertifizierungsstellen – Microsoft ADCS, EJBCA, HashiCorp Vault PKI, step-ca – über Jahre hinweg ohne strukturierte Governance. Es entstehen gewachsene Zertifikatslandschaften, deren Bestand, Risiken und Ablauffristen niemand vollständig überblickt. Mit Azure Key Vault und öffentlich vertrauten Zertifikaten kommen weitere Bestände hinzu, die governance-seitig oft nicht mit dem internen Register zusammengeführt sind.
Aufsichts- und Auditfragen treffen dann auf eine Realität, die sich nur mit erheblichem Aufwand rekonstruieren lässt. Ziel ist nicht Panikmache, sondern eine ruhige, audit-taugliche Sicht auf den tatsächlichen Bestand.
Was über Jahre oft fehlt
- Governance über ausgestellte Zertifikate
- Ownership und Verantwortlichkeiten
- Lifecycle-Transparenz und Ablaufübersicht
- Template-Review und Enrollment-Rechte
- Auditfähigkeit auf Anfrage
Assessment
Certificate Governance Pilot Assessment
Das Assessment liefert in einem klar abgegrenzten Vorgehen eine erste, belastbare Sicht auf Ihre relevanten Zertifikatsbestände aus den angebundenen CA-Plattformen (ADCS, EJBCA, HashiCorp Vault PKI, step-ca, Azure Key Vault) sowie aus TLS-Scan und CT-Log. Der Ansatz ist rein lesend und nicht invasiv – keine produktiven Einstellungen werden verändert, keine Zertifikate ausgestellt oder revoziert, niemals werden private Schlüssel verarbeitet.
Ergebnis ist ein konsolidiertes Register, eine technische Risiko- und Ablaufanalyse sowie eine Governance-Einordnung mit Management Summary – nutzbar für interne Reviews, DORA-/NIS2-Vorbereitung und ISO 27001-Audits.
Inhalte des Assessments
- Lesende Anbindung Ihrer CA-Plattformen (ADCS, EJBCA, Vault PKI, step-ca, Azure Key Vault)
- TLS-Scan relevanter host:port-Endpunkte und CT-Log-Abgleich
- Konsolidiertes Register mit SHA-256-Fingerprint als Schlüssel
- Risiko- und Compliance-Findings inkl. Sperrstatus (CRL/OCSP)
- Governance-Einordnung: kritische / wichtige Funktion, Ownership, Waisen
- DORA-Auswertungs-Views und Ablaufanalyse
- Management Summary und Audit-Export (XLSX/CSV)
Sicherheit & Vertrauen
Bewusst zurückhaltend gebaut
Certificate Intelligence ist ein Inventar, kein Key-Store. Es sieht nur, was öffentlich ohnehin sichtbar ist – und bleibt damit auch in hochregulierten und isolierten Umgebungen einsetzbar.
Rein lesend
Nicht invasiv, keine produktiven Änderungen an CAs, Templates oder Diensten.
Kein Private Key
Niemals private Schlüssel – nur öffentliche Zertifikatsteile und Metadaten.
Air-Gap-tauglich
Docker Compose und Datei-Import für isolierte Segmente ohne Netzverbindung.
Container & OVA
Auslieferung als Docker Compose oder VM-Appliance – Installation in Ihrer Umgebung.
RBAC & Web-Login
Rollenbasierter Zugriff: admin schreibt, viewer liest.
Append-only Audit-Trail
Nachvollziehbare Historie; Archivieren statt Löschen (reversibel, auditiert).
DORA-Bezug
Wo Certificate Intelligence Nachweise liefert
Zertifikate sind IKT-Assets. Certificate Intelligence adressiert mehrere DORA-Anforderungen und liefert dafür Nachweise – es ersetzt keine rechtliche Bewertung und garantiert keine Konformität, sondern macht den Bestand prüfbar.
Identifikation & Klassifikation
Zertifikate als IKT-Assets identifizieren, klassifizieren und kritischen / wichtigen Funktionen zuordnen.
Schutz & Prävention
Kryptografie sowie Schlüssel- und Zertifikats-Lebenszyklus: schwache Krypto, Ablauf, Sperrstatus, Key-Reuse.
Drittparteien-Risiko
CA-, Drittparteien- und Konzentrationsrisiko sichtbar machen – Basis für das Informationsregister.
Unterstützt darüber hinaus die Inventar- und Governance-Erwartungen aus NIS2 und ISO 27001.
Einstieg
60 Tage kostenlos – vollständig in Ihrer Hand
Sie installieren Certificate Intelligence selbst als Container oder OVA und nutzen es 60 Tage kostenlos mit vollem Funktionsumfang. Danach skaliert es nach der Anzahl der Zertifikate. Auf Wunsch unterstützen wir bei der Installation.
60 Tage kostenlos
Voller Funktionsumfang ohne Einschränkung – in Ruhe in Ihrer eigenen Umgebung evaluieren.
Self-Install
Sie installieren Container (Docker Compose) oder VM-Appliance (OVA) selbst.
Skalierung nach Bestand
Die Nutzung skaliert nach Anzahl der Zertifikate. Optionaler Installationssupport.
Warum Blackfort
Erfahrung in regulierten PKI-Umgebungen
Zertifikate sind technisch unscheinbar – und gleichzeitig tragender Bestandteil regulierter IT-Architekturen. Wir arbeiten seit vielen Jahren in genau dieser Schnittmenge aus Kryptographie, regulatorischer Erwartung und Betriebsrealität.
PKI-Erfahrung
Langjährige Projekterfahrung mit interner und ausgelagerter PKI in regulierten Umgebungen.
Regulierte Umgebungen
Arbeit mit Finanzunternehmen, KRITIS-Betreibern, Verwaltungen und Gesundheits-Infrastruktur.
Offizieller DigiCert-Partner
Etablierte Partnerschaft mit DigiCert für öffentliche Zertifikate und Trust-Services.
Verwaltungs-PKI & gematik
Erfahrung mit Verwaltungs-PKI und gematik-relevanten Architekturen im Gesundheitswesen.
Thales nShield Certified
Zertifizierter Security Expert für Thales nShield HSM – belastbare Schlüsselverwahrung.
DORA, NIS2, ISO 27001
Beratung entlang anerkannter Regulierungs- und Standardisierungsrahmen.
Deutsche On-Prem-Perspektive
Lokale Auswertung in Ihrer Umgebung – auch beim Zugriff auf Azure-Quellen über Ihre Tenants.
Häufige Fragen
Ist Blackfort Certificate Intelligence bereits ein vollständiges CLM-System?
Nein. Blackfort Certificate Intelligence ist ein Zertifikatsinventar mit Governance- und Compliance-Intelligenz, kein vollständiges Certificate Lifecycle Management. Verfügbar sind fünf CA-Connectoren (Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault), ein eigener TLS-Scanner, CT-Log-Monitoring, Air-Gap-Import, Sperrstatusprüfung über CRL/OCSP, Ketten-/Trust-Auflösung, DORA-Auswertungs-Views, RBAC, Teams-Benachrichtigungen, Audit-Trail und XLSX-/CSV-Export. Automatische Renewal-Prozesse gehören bewusst nicht zum aktuellen Stand.
Welche Quellsysteme werden heute unterstützt?
Heute verfügbar und am PKI-Testlab validiert sind fünf CA-Connectoren: Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca und Azure Key Vault. Dazu kommen ein eigener schlanker TLS-Scanner (rein lesender Zertifikatsabruf je host:port, kein Cipher-Probing), CT-Log-Monitoring für öffentlich vertraute Zertifikate Ihrer Domänen sowie ein Air-Gap-Datei-Import für isolierte Segmente.
Werden private Schlüssel ausgelesen oder gespeichert?
Nein. Certificate Intelligence ist ein Inventar, kein Key-Store. Es verarbeitet ausschließlich öffentliche Zertifikatsteile und Metadaten – niemals private Schlüssel. Der Ansatz ist rein lesend und nicht invasiv.
Wie wird mit extern entdeckten Zertifikaten umgegangen?
Über das CT-Log-Monitoring entdeckte, öffentlich vertraute Zertifikate Ihrer Domänen werden klar als „extern“ gekennzeichnet. Jedes Zertifikat trägt eine Quellklasse (managed, external oder mixed), sodass intern verwaltete und extern beobachtete Bestände sauber getrennt bleiben.
Gibt es konfigurierbare Ablauf-Alerts und Benachrichtigungen?
Ja. Die Ablauf-Eskalation erfolgt nach Service-Klasse. Zusätzlich gibt es Teams-Benachrichtigungen mit konfigurierbaren Schwellen und Toggles sowie einen optionalen Tages-Digest. Damit lassen sich Ablauf- und Risikobefunde differenziert dort sichtbar machen, wo Teams ohnehin arbeiten.
Wie wird das Produkt betrieben und ausgeliefert?
Certificate Intelligence läuft in Ihrer Umgebung – als Container (Docker Compose, Air-Gap-tauglich) oder als VM-Appliance (OVA). Der Zugriff erfolgt über ein Web-Login mit RBAC (admin schreibt, viewer liest). Agenten werden zentral im Frontend verwaltet, mit zwei Ausgabemodi: HTTPS-Push mit Token oder Air-Gap-Datei-Export; Token lassen sich erzeugen, sperren und rotieren.
Werden automatisch Jira-Tickets erstellt?
Im aktuellen Stand nicht. Findings und Ablauf-Befunde werden strukturiert exportiert (XLSX/CSV) und können manuell in bestehende ITSM-Prozesse übernommen werden.
Unterstützt das bereits DigiCert?
Aktuell nicht Bestandteil des Piloten. Blackfort ist offizieller DigiCert-Partner für öffentliche Zertifikate und Trust-Services.
Muss dafür eine Cloud genutzt werden?
Nein. Die Auswertung läuft in Ihrer Umgebung. Für Azure-Datenquellen werden ausschließlich Azure-APIs gegen Ihre eigenen Tenants und Subscriptions abgefragt – es entsteht keine zusätzliche Drittplattform, die Ihre Zertifikatsdaten persistieren würde.
Wird die Microsoft CA verändert?
Nein. Der Ansatz bleibt für die Microsoft CA rein lesend. Es werden Daten exportiert und ausgewertet; es werden keine Templates geändert, keine Zertifikate ausgestellt oder revoziert und keine produktiven Einstellungen modifiziert.
Reicht PRTG nicht aus?
PRTG kann einzelne Endpunkte und deren TLS-Zertifikate sehr gut überwachen. Was PRTG nicht liefert, ist eine quellsystem-übergreifende Governance-Sicht über mehrere CA-Plattformen hinweg – inklusive Sperrstatus (CRL/OCSP), Ketten-/Trust-Auflösung, Key-Reuse und Governance-Feldern wie kritischer Funktion und Ownership.
Unterstützt das auch Linux oder Kubernetes?
Die fünf CA-Connectoren (ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault) decken bereits gemischte Linux-/Windows-PKI-Landschaften ab; der TLS-Scanner ist plattformunabhängig. Eine tiefe Kubernetes-Integration (cert-manager, Workload-Zertifikate) ist aktuell nicht Bestandteil.
Ist das für DORA oder NIS2 vorgeschrieben?
Nein. Verpflichtend sind DORA, NIS2 und vergleichbare Regulierungen selbst – nicht ein bestimmtes Produkt. Certificate Intelligence adressiert die geforderte Governance- und Inventarfunktion für Zertifikate (u. a. DORA Art. 8, 9 und 28–30) und liefert dafür Nachweise; es garantiert keine Konformität und ersetzt keine rechtliche Bewertung.
Produktüberblick als PDF
Foliensatz mit Quellen, Datenmodell, Compliance-Checks und DORA-Bezug.
Kontakt aufnehmen
Sie betreiben mehrere CA-Plattformen – und wollen sehen, was wirklich im Umlauf ist?
Certificate Intelligence inventarisiert ADCS, EJBCA, Vault PKI, step-ca und Azure Key Vault rein lesend, inklusive TLS-Scan und CT-Log. Lassen Sie uns ein erstes Pilotgespräch vereinbaren.