IT-Service Walter

Windows-Zertifizierungsstelle remote verwalten – ohne RDP

Der ISW CA Operations Manager: Anträge genehmigen, Zertifikate zurückrufen, CRLs veröffentlichen und revisionssichere Berichte erzeugen – komfortabel per WinRM.

Wer eine Microsoft Enterprise CA betreibt, kennt das Spiel: Für jede Kleinigkeit – einen Zertifikatsantrag genehmigen, ein Zertifikat zurückrufen, die Sperrliste veröffentlichen – schaltet man sich per RDP auf den CA-Server und hantiert auf der Kommandozeile mit certutil. Das kostet Zeit, ist fehleranfällig und hinterlässt keinerlei nachvollziehbare Spur.

Der ISW CA Operations Manager macht damit Schluss: Er verbindet sich per WinRM mit Ihrer Zertifizierungsstelle und bündelt alle wiederkehrenden Aufgaben rund um den Zertifikats-Lebenszyklus in einer aufgeräumten Oberfläche – inklusive automatischer, manipulationssicherer Dokumentation.

Das Problem: CA-Verwaltung heißt bisher RDP + Kommandozeile

Die Verwaltung einer Windows-CA findet traditionell direkt auf dem Server statt – entweder über die MMC-Konsole oder über certutil. Das bedeutet: privilegierte RDP-Sitzungen auf einem hochkritischen System, Befehle und Seriennummern, die man sich merken muss, und am Ende keine saubere Aufstellung, wer wann was getan hat. Gerade für Audits nach BSI IT-Grundschutz, ISO 27001 oder DSGVO ist genau diese Lücke ein Problem.

Die Lösung: alles aus einer Oberfläche, remote per WinRM

Statt sich auf den Server zu schalten, arbeiten Sie vom Arbeitsplatz aus. Das Tool führt im Hintergrund exakt die bekannten certutil-Befehle aus – nur eben gekapselt, protokolliert und mit Sicherheitsnetz. Kein direkter RDP-Zugriff auf die CA mehr nötig.

Funktionen im Überblick

Genehmigen & exportieren

Offene Anforderungen per resubmit freigeben und das ausgestellte Zertifikat direkt als PEM oder DER speichern – einzeln oder als Stapel.

Zurückrufen mit Grund

Rückruf mit korrektem Reason-Code plus Freitext-Kommentar. Der Grund landet automatisch im Bericht und in der E-Mail – nachvollziehbar für jeden Auditor.

Hold gezielt aufheben

Ein CertificateHold (Reason 6) lässt sich sauber per RemoveFromCRL aufheben – mit Schutz davor, das versehentlich auf endgültig gesperrte Zertifikate anzuwenden.

Smart-Filter-Berichte

HTML- und PDF-Berichte zeigen nur die Auffälligkeiten – bald ablaufende, gesperrte oder lange offene Zertifikate. Der komplette Bestand liegt als XLSX-Anhang bei.

Audit-Log mit Hash-Chain

Jede Aktion wird in einem SHA-256-verketteten Protokoll festgehalten. Nachträgliche Manipulationen brechen die Kette und werden im Bericht sofort sichtbar.

Multi-CA-Profile

Mehrere Zertifizierungsstellen aus einem Tool verwalten – ideal für MSPs und zentrale IT-Abteilungen mit mehreren Mandanten oder Standorten.

Geplante Berichte

Per Windows-Aufgabenplanung versendet das Tool täglich, wöchentlich oder monatlich automatisch einen Compliance-Bericht – ganz ohne manuelles Zutun.

CRL-Status & Veröffentlichung

Die nächste geplante CRL-Veröffentlichung wird direkt aus der verbundenen CA gelesen. Überfällige Sperrlisten erneuern Sie mit einem Klick.

Klassischer Weg vs. ISW CA Operations Manager

Kriterium	Klassisch (RDP + certutil)	ISW CA Operations Manager
Zugriff	Privilegierte RDP-Sitzung auf dem CA-Server	Remote per WinRM vom Arbeitsplatz, kein RDP nötig
Anforderung genehmigen	Befehl und RequestID manuell merken	Auswahl anklicken, optional direkt als PEM/DER exportieren
Nachvollziehbarkeit	Keine durchgängige Spur	SHA-256-Audit-Log mit Manipulationserkennung
Reporting	Manuell, wenn überhaupt	HTML, PDF und XLSX – auf Wunsch automatisch per E-Mail
Mehrere CAs	Auf jedem Server einzeln anmelden	Profile umschalten – ein Tool für alle Mandanten
Compliance	Hoher manueller Dokumentationsaufwand	Prüffertige Nachweise für BSI, ISO 27001 und DSGVO

Sicherheit ist eingebaut

Irreversible Aktionen wie das Löschen einer Anforderung verlangen eine bewusste Bestätigung samt Begründung. Sensible Daten werden mit AES-256 verschlüsselt abgelegt – und der ausführende Benutzer braucht weiterhin die regulären CA-Verwaltungsrechte. Das Tool umgeht keine Berechtigungen, es macht ihre Nutzung nur komfortabler und sauber dokumentiert.

Voraussetzungen

✓WinRM auf dem CA-Server aktiviert (HTTP 5985 oder HTTPS 5986)
✓Benutzerkonto mit der CA-Rolle „Issue and Manage Certificates“
✓Windows-Arbeitsplatz mit aktueller .NET-Laufzeit
✓Optional: SMTP-Zugang für den automatischen Berichtsversand

Für wen ist das Tool gedacht?

Für Administratoren und IT-Dienstleister, die eine oder mehrere Microsoft-Zertifizierungsstellen betreiben und die tägliche Arbeit beschleunigen wollen, ohne die Kontrolle und Nachvollziehbarkeit aufzugeben. Besonders MSPs profitieren von den Multi-CA-Profilen und dem automatisierten Compliance-Reporting – ein Werkzeug für viele Kunden-CAs.

Fazit

Der ISW CA Operations Manager verwandelt die mühsame, undokumentierte CA-Verwaltung per RDP in einen schnellen, sicheren und revisionssicheren Arbeitsablauf. Weniger Klicks, weniger Risiko, lückenlose Nachweise – genau das, was eine moderne PKI-Verwaltung braucht.

Mehr erfahren