CertOps — Zertifikate automatisch erneuern
TLS/SSL-Zertifikate für Windows-Server automatisch erneuern, deployen und überwachen. ACME-native. Governance-gesichert. BAIT- und DORA-konform. Reseller-fähig.
Der CA/Browser-Forum-Fahrplan — Automation ist Pflicht
Manuell noch möglich — aber aufwändig.
Manuell grenzwertig. Automation dringend empfohlen.
Manuell nicht mehr tragbar. Automation zwingend.
Manuell faktisch unmöglich. Vollautomatisierung erforderlich.
So funktioniert CertOps
Vier Schritte — vollständig automatisiert, jeder mit Governance-Checkpoint.
Discovery
Blackbox-Exporter scannt alle konfigurierten Endpoints täglich. Cert-CMDB erfasst FQDN, SANs, Issuer, Ablaufdatum und Service-Binding automatisch.
Renewal (ACME)
30 Tage vor Ablauf löst der Orchestrator eine Erneuerung aus — per ACME gegen Let's Encrypt, ZeroSSL, Sectigo/DigiCert oder interne step-ca. Vollständig automatisch, ohne manuellen Eingriff.
Windows-Binding (HITL-Gate)
Der PowerShell-Agent bindet das neue Zertifikat an IIS, RDS, Exchange, LDAPS etc. Für Produktiv-Systeme: Freigabe via HITL-Gate erforderlich, bevor gebunden wird.
Monitor & Alert
Prometheus prüft nach dem Bind den neuen Ablauftermin. Gestufte Alerts bei 30/14/7/3 Tagen. Grafana-Dashboard. Automatischer Incident bei Renewal-Fehler.
Was CertOps leistet
Discovery & Inventar
Automatische TLS-Probe aller konfigurierten Endpoints. Vollständiges Cert-CMDB: FQDN, SANs, Issuer, Ablaufdatum, Service-Binding.
Automatische Erneuerung
ACME-native: Let's Encrypt/ZeroSSL für public Hosts, eigene step-ca für interne Server, Sectigo/DigiCert ACME für OV/EV. 30 Tage vor Ablauf.
Windows-Deployment
PowerShell-Agent bindet neues Cert automatisch an IIS, RDS/RD-Gateway, Exchange, LDAPS, WinRM, SQL Server, NPS.
Governance & Audit-Trail
Jede Ausstellung und jeder Bind erzeugt einen maschinenlesbaren Evidence-Record. Produktiv-Rebind nur nach expliziter Freigabe (HITL-Gate).
Monitoring & Alerts
Blackbox-Exporter + Prometheus: gestufte Alerts bei 30/14/7/3 Tagen vor Ablauf. Grafana-Dashboard. Automatischer Incident bei Renewal-Fehler.
Compliance-Reports
Quarterly Compliance-Reports für BAIT, DORA, BSI IT-Grundschutz und ISO 27001 — automatisch aus vorhandenen Daten generiert.
Regulatorische Anforderungen — automatisch erfüllt
CertOps liefert den Audit-Trail automatisch mit. Jede Ausstellung, jeder Rebind — maschinenlesbar, nachweisbar, berichtsfähig.
Cert-Lifecycle-Dokumentation + automatisierte Erneuerung als Kontrolle gegen Cert-Outage. Abgelaufenes Zertifikat = Verfügbarkeits-Incident.
ICT Security (Art. 9): Key- und Certificate-Management als Pflicht. Business Continuity (Art. 10): Cert-Outage im BCP-Scope.
Patch- und Änderungsmanagement: Certs als kryptographische Patches. Webserver-Sicherheit: TLS-Aktualität als Grundschutzkontrolle.
Use of Cryptography: automatisierter Key- und Certificate-Lifecycle als Anforderung der ISO/IEC 27001:2022.
Unterstützte Windows-Dienste
| Dienst | Bindungs-Methode | Neustart |
|---|---|---|
| IIS (Web, OWA, SharePoint) | WebAdministration PowerShell | Optional / IISReset |
| RDS / RD-Gateway | WMI TermServices + netsh | TermService Restart |
| LDAPS (Domain Controller) | NTDS\Personal Store | NTDS-Dienst Restart (~10s) |
| Exchange (IIS+SMTP+IMAP+POP) | Enable-ExchangeCertificate (EMS) | IISReset |
| WinRM HTTPS | WSMan-Listener + netsh | WinRM Restart |
| SQL Server | WMI / Registry | SQL-Dienst Restart |
| NPS | netsh nps | Kein Restart |
Reseller- & MSP-Modell
IT-Systemhäuser und MSP setzen CertOps ein und resellen es white-label an ihre Kunden — Sparkassen, Kommunen, KMUs. Der Controller läuft on-premise beim Reseller (volle Datensouveränität). Intelego liefert Software, Updates und Governance.
On-Prem White-Label
Controller in Reseller-Infrastruktur. Daten verlassen das Haus nicht. Ideal für BAIT- und Sparkassen-Anforderungen.
Bis 200 Endkunden
Sub-Scopes je Endkunde. Isolierte Inventar-DBs, isolierte Cert-Stores. Reseller rechnet selbst mit Endkunden ab.
Preise
- Bis 10 Endpoints
- Vollständiger Controller-Stack
- Windows-Agent + 1 Service-Hook
- Intelego begleitet Setup
- Unlimited Endpoints
- Bis 200 Endkunden-Sub-Scopes
- Alle Service-Hooks
- Compliance-Reports (BAIT/DORA/BSI)
- Software-Updates & Support
- Eigene Reseller-Marge
- Bis 25 Endpoints (S-Tier)
- Intelego-Managed
- Monitoring-Dashboard
- Compliance-Report inklusive
Alle Preise netto zzgl. MwSt.
Häufige Fragen
Funktioniert CertOps mit unserem bestehenden ADCS?
Ja. CertOps unterstützt zwei CA-Pfade: Wenn ein Microsoft Active Directory Certificate Services bereits vorhanden ist, verwendet CertOps den ADCS-Adapter (NDES/SCEP via certreq). Ist kein ADCS vorhanden, übernimmt die mitgelieferte step-ca als private ACME-CA. Beide Pfade können parallel laufen — ADCS für AD-joined Hosts, step-ca für externe oder nicht-Domain-Hosts.
Was passiert, wenn eine Erneuerung fehlschlägt?
CertOps versendet gestufte Alerts bei 30 / 14 / 7 / 3 Tagen vor Ablauf — unabhängig davon, ob eine Erneuerung ausgelöst wurde. Ein Renewal-Fehler erzeugt automatisch einen Incident im Service-Desk. Das Zertifikat läuft nie still ab: Entweder die Erneuerung gelingt, oder ein Alarm eskaliert rechtzeitig an den zuständigen Operator.
Wo liegen unsere Zertifikatsdaten — verlassen sie unser Haus?
Im Standard-Modell (On-Prem White-Label) läuft der gesamte Controller-Stack — Orchestrator, Cert-Inventar-DB, step-ca, Prometheus/Grafana — auf einem eigenen Linux-Server in der Reseller-Infrastruktur. Private Keys, FQDN-Inventar und Compliance-Reports verlassen das Haus nicht. Intelego liefert Software und Updates, hat aber keinen Zugriff auf die laufende Instanz.
Müssen wir Let's Encrypt oder eine öffentliche CA verwenden?
Nein. Für interne Windows-Server (nicht öffentlich erreichbar) verwendet CertOps die mitgelieferte step-ca als private ACME-CA — vollständig on-premise, ohne externe CA-Abhängigkeit. Let's Encrypt und ZeroSSL sind optional für öffentlich erreichbare Hosts. OV/EV-Zertifikate (z.B. für Sparkassen-Branding) werden via Sectigo oder DigiCert ACME unterstützt.
Wie wird ein produktiver Cert-Rebind abgesichert?
Jeder Produktiv-Rebind durchläuft ein HITL-Gate (Human-in-the-Loop). Der Windows-Agent prüft vor dem Bind ob das Gate freigegeben ist — ist es nicht, wird nicht gebunden. Die Freigabe erfolgt durch einen autorisierten Operator (Cockpit oder Matrix-Chat). Jede Freigabe und jeder Bind erzeugt einen maschinenlesbaren Evidence-Record für den Audit-Trail.
Welche Windows-Dienste werden für automatisches Binding unterstützt?
CertOps unterstützt alle gängigen Windows-Dienste mit zertifikatsabhängiger Konfiguration: IIS (inkl. OWA, SharePoint), RDS / RD-Gateway, LDAPS (Domain Controller), Exchange (IIS + SMTP + IMAP + POP), WinRM HTTPS, SQL Server und NPS. Jeder Dienst hat einen eigenen PowerShell-Hook der die dienstspezifische Bindungs-API verwendet.
Jetzt kostenfreien PoC anfragen
Wir beweisen den Loop Discovery → Erneuerung → Binding → Monitoring
an Ihren Windows-Servern — in 30 Tagen, ohne Risiko.