CA-Software von Nexus bewährt sich im Einsatz bei LuxTrust

LuxTrust, Luxemburgs nationaler Trust Service Provider, setzt seit 2017 auf den Nexus Certificate Manager, die CA-Software des Identity- und Sicherheitsspezialisten Nexus. „Aus heutiger Sicht hat sich die Umstellung auf die Software von Nexus sowohl für uns als Unternehmen als auch für die Bürger Luxemburgs als sehr vorteilhaft erwiesen. Der Migrationsprozess war unkompliziert und hatte dank der kompetenten Unterstützung von Nexus kaum Auswirkungen auf unser Geschäft“, sagt Ralph Berkes, Chief Engineer bei LuxTrust.

Das Kerngeschäft von LuxTrust ist die Ausgabe elektronischer Identitäten (eIDs) für alle Personen, die in Luxemburg leben oder arbeiten. Die elektronischen Identitäten werden verwendet, um einen sicheren Zugang zu verschiedensten E-Services im privaten und öffentlichen Sektor zu gewähren und rechtsverbindliche digitale Signaturen zu erstellen.

LuxTrust ist nach eIDAS-zertifiziert

„Die Leute können bei uns eine private eID und eine berufliche eID erhalten, die zentral gespeichert werden und über mobile Apps, Smartcards oder Hard Token abgerufen werden können“, sagt Pascal Rogiest, CEO von LuxTrust.

Die elektronischen Identitäten basieren auf PKI-Zertifikaten (Public Key Infrastructure) und LuxTrust ist vollständig nach der EU-Verordnung eIDAS (Electronic Identification, Authentication and Trust Services) zertifiziert.

„Unsere Services erfüllen höchste Qualitätsanforderungen und unsere Zertifikate sind gemäß eIDAS als ‚qualifiziert‘ eingestuft“, sagt Rogiest.

Die alte Lösung entsprach nicht mehr den Anforderungen

Das Herzstück einer PKI ist die Software für die Zertifizierungsstelle (Certificate Authority – CA), die für Ausstellung und Verwaltung der Zertifikate zuständig ist. Bis August 2017 nutzte LuxTrust eine CA-Software eines großen US-Anbieters.

„Wir hatten das Management der Software an ein anderes Unternehmen ausgelagert, aber dieses Setup hat nicht zu unseren spezifischen Anforderungen gepasst“, sagt Berkes.

Welche Gründe gab es für den Umstieg auf die neue Lösung?

„Unsere frühere Softwarelösung hatte diverse Einschränkungen und Nachteile. Natürlich bot die alte Lösung auch einige Vorteile, doch die Nachteile waren gravierender. Bedienung und Updates der Software waren schwierig, vor allem, weil eine spezielle Instanz der Software pro Zertifizierungsstelle erforderlich war – die Lösung war also nicht mandantenfähig“, sagt Berkes.

So musste LuxTrust Änderungen an der CA-Software immer in allen verschiedenen Software-Instanzen vornehmen. Mit einer mandantenfähigen Software wie der Lösung von Nexus können viele Zertifizierungsstellen mit derselben Instanz der Software betrieben werden.

Hohe Anforderungen an die neue Lösung

„Daher war die Mandantenfähigkeit eine unserer Hauptanforderungen, als wir die Suche nach einem neuen Anbieter begannen. Doch es gab natürlich noch weitere Punkte auf unserer Liste: Die neue CA-Software sollte zuverlässig und effizient sein sowie über die entsprechenden Zertifizierungen verfügen. Zudem brauchten wir ein geeignetes Preismodell und hatten hohe Anforderungen hinsichtlich der Flexibilität und der Zertifikate“, sagt Berkes.

Ende 2016 startete LuxTrust sein Projekt zur Umstellung auf eine neue CA-Software, die auf eigenen Servern laufen sollte.

Workshops mit verschiedenen Anbietern

„Der Auswahlprozess umfasste Workshops mit potenziellen Lieferanten. So konnten wir verschiedene CA-Software-Varianten testen und feststellen, welche Lösung unsere Anforderungen erfüllen kann. Unter anderem wollten wir sehen, wie wir Richtlinien erstellen und ändern, Konfigurationen ändern und wie wir die CA-Software in unsere Services integrieren können“, sagt Berkes.

Was raten Sie Unternehmen, die auf der Suche nach einer neuen CA-Software sind?

„Sie sollten auf jeden Fall diese Workshops nutzen, um die Software auszuprobieren. Nur so können sie testen, wie die Software wirklich funktioniert. Wenn Sie die Lösung lediglich in einer PowerPoint-Präsentation sehen, kann das einen guten Eindruck machen, aber man weiß nicht, wie gut sie im täglichen Einsatz ist. Wenn man die Funktionen selbst testen kann, ist es leichter, potenzielle Probleme zu erkennen und dem Anbieter die richtigen Fragen zu stellen“, sagt Berkes.

Nexus verpflichtete sich, die Anforderungen von LuxTrust zu erfüllen

Die CA-Software von Nexus konnte anfangs nicht alle Anforderungen von LuxTrust erfüllen, doch das Unternehmen verpflichtete sich, die Software weiterzuentwickeln, um in späteren Versionen die gewünschte Funktionalität bereitzustellen.

„Und Nexus hat sein Versprechen gehalten. Wir sind mit der Lösung zufrieden, sie funktioniert wie erwartet“, sagt Berkes.

Wo liegen die größten Vorteile der CA-Software von Nexus?

„Ein wichtiger Aspekt ist, dass wir eine pauschale Gebühr zahlen, die eine unbegrenzte Anzahl von Transaktionen und Zertifikaten beinhaltet. Ein weiterer Vorteil ist die einfache Bedienung der Anwendung. Zudem bietet sie sämtliche Auditprotokolle und alle notwendigen Funktionen für die Zugriffskontrolle: Wir können die Funktionalität auf verschiedene Rollen beschränken, das ist für uns sehr wichtig, da wir strengen Richtlinien unterliegen. Und natürlich ist für uns – wie bereits erwähnt – die Mandantenfähigkeit sehr wichtig. Es gibt noch weitere nützliche Funktionen, von denen wir profitieren. Außerdem schätzen wir es sehr, dass Nexus die Funktionalität kontinuierlich erweitert“, sagt Berkes.

Haben auch die Bürger und Organisationen Luxemburgs von der Umstellung profitiert?

„Die Vorteile der neuen Software sind für uns intern am deutlichsten spürbar, aber es gibt auch eine Reihe von Verbesserungen für die Bürger und Organisationen – und es werden weitere folgen“, sagt Berkes.

Migration der kryptographischen Schlüssel

LuxTrust nutzt Nexus Certificate Manager als Certificate Factory (zur Generierung von Zertifikaten) und OCSP (Online Certificate Status Protocol) Responder zur Überprüfung des Zertifikatsstatus.

„Unser gesamtes System ist redundant konfiguriert: Wir haben zwei Rechenzentren für die Online-CAs und zwei Offline-CAs auf Computern in Tresoren. Die Registrierungsstelle ist ein Portal, das wir selbst entwickelt haben“, sagt Berkes.

Die Umstellung auf die neue Software begann Ende Juli 2017 mit der Migration der kryptographischen Schlüssel auf ein neues Hardware-Sicherheitsmodul (HSM).

„Das war natürlich eine kritische Phase, da die Schlüssel das Herzstück der Zertifizierungsstelle sind. Die Migration wurde in einem sicheren Raum in Anwesenheit eines Auditors durchgeführt“, sagt Berkes.

Fünfköpfiges Migrationsteam

Die Migration auf Nexus Certificate Manager erfolgte Ende August 2017. „Wir haben an einem Samstag um 14.00 Uhr begonnen, um die Auswirkungen für unsere Benutzer zu minimieren. Nahezu jeder in Luxemburg nutzt unsere Dienste, daher ist es von großer Bedeutung, dass unser System kontinuierlich einsatzbereit ist“, sagt Berkes.

Zum Migrationsteam gehörte neben Berkes und drei weiteren Mitarbeitern von LuxTrust auch Christophe Cauche, Technical Account Manager bei Nexus.

„Außerdem bekamen wir etwas Unterstützung von der Firma, die unsere alte Software verwaltet hat, aber wir wollten sie so wenig wie möglich in das Projekt einbeziehen. Christophe Cauche war während des gesamten Projekts sehr aktiv und hat uns gut unterstützt“, sagt Berkes.

Erwartungen übertroffen

Während der Migration wurden zwei Root-CAs, sieben Sub-CAs, mehrere Zertifikatsrichtlinien und viele Zertifikate in die Nexus Software importiert.

„Wir hatten zuvor bereits eine reibungslose Testmigration durchgeführt, dennoch gab es bei der echten Migration ein Problem: Die Zertifikatssperrliste war so groß, dass die Anwendung nicht mehr reagierte. Doch mit einem Neustart konnten wir das Problem beheben. Insgesamt verlief die Migration aber reibungsloser als erwartet. Wir alle blieben die ganze Nacht an unserem Standort und um 7 Uhr am Sonntagmorgen war alles erledigt“, sagt Berkes.

Lob für Nexus

Die CA-Software von Nexus läuft jetzt (Stand Januar 2019) seit 1,5 Jahren, und Ralph Berkes betont, dass er sowohl die Software als auch Nexus guten Gewissens empfehlen kann.

„Wenn wir Fragen haben, wenden wir uns an das Nexus-Support-Team oder an Christophe Cauche. Für uns ist es sehr wichtig, dass wir immer einen technisch kompetenten Ansprechpartner beim Anbieter erreichen können, und Nexus ist in dieser Hinsicht wirklich großartig. Wenn es um kommerzielle Fragen geht, unterstützt uns Philippe Fonton, Direktor für Frankreich bei Nexus. Wir sind sehr zufrieden mit dem Ablauf der Verhandlungen und der Verfügbarkeit des Nexus-Teams“, sagt Berkes.

Bestandteil der Smart ID-Plattform von Nexus

Die universell einsetzbare CA-Software Nexus Certificate Manager ist Bestandteil der Nexus Smart ID-Plattform, die von großen Organisationen und Unternehmen weltweit genutzt wird, um vertrauenswürdige Identitäten von Unternehmen und Behörden oder eine sichere Kommunikation für das Internet der Dinge (z. B. für vernetzte Autos) zu ermöglichen.

Magnus Malmström, CEO von Nexus, freut sich, dass LuxTrust sich für die CA-Software von Nexus entschieden hat.

„Als nationaler Trust Provider unterliegt LuxTrust strengen Richtlinien und hat sehr hohe Anforderungen an seine CA-Software. Daher ist es für uns eine große Auszeichnung, dass unsere Lösung ausgewählt wurde. Die Migration von der Vorgänger-Lösung konnten wir mit minimalen Einschränkungen des Betriebs bei LuxTrust durchführen. Das unterstreicht erneut, wie groß das technische Know-how bei Nexus ist“, sagt Malmström.

Weiteren Kunden-Case auswählen