Certifikatstyring software er et begreb der bruges om mange ting — fra simple udløbsoverblik til komplette PKI-livscyklusprodukter. Denne guide forklarer hvad kategorien dækker, hvad der faktisk er relevant for de fleste organisationer, og hvad du bør kigge efter hvis du evaluerer en løsning.

Hvad certifikatstyring software er

I sin enkle form er certifikatstyring software et system der automatiserer opdagelse, overvågning, alarmering og fornyelse af TLS/SSL-certifikater på tværs af en organisations infrastruktur.

I sin fulde form dækker det hele certifikatets livscyklus:

  • Opdagelse: Automatisk identifikation af alle certifikater i brug — inkl. dem ingen kendte til
  • Inventarisering: Struktureret oversigt over hvad der eksisterer, hvornår det udløber, og hvem der ejer det
  • Overvågning: Løbende scanning for udløb, konfigurationsproblemer og sikkerhedssvagheder
  • Alarmering: Notifikationer til de rigtige mennesker i god tid inden et problem opstår
  • Fornyelse: Manuel workflow-support eller fuld automation via ACME
  • Compliance-rapportering: Dokumentation der beviser at certifikater håndteres systematisk

Hvad adskiller certifikatstyring software fra regneark

Regneark er udgangspunktet for de fleste teams. De giver et midlertidigt overblik, men fejler systematisk på tre punkter:

Fuldstændighed: Et regneark indeholder kun de certifikater nogen har husket at tilføje. Certifikater på leverandørsystemer, i cloud-infrastruktur eller på interne systemer der ikke er "nogen bestemt ansvars" ender aldrig i regnearket. Certifikatstyring software opdager dem automatisk.

Aktualitet: Et regneark er pr. definition forældet det øjeblik det gemmes. Certifikater fornyes, tilbagekaldes og tilføjes hele tiden. Software opdaterer kontinuerligt.

Skalering: Med CA/Browser Forums beslutning om 47-dages certifikater i 2029 vil en organisation med 1.000 certifikater have 8.000 fornyelser om året. Det er ikke muligt at håndtere manuelt — hverken i regneark eller ved at sætte kalenderpåmindelser.

Hvad du bør kigge efter: en evalueringsliste

Når du evaluerer certifikatstyring software, bør disse spørgsmål indgå:

Opdagelse og dækning

  • Opdager løsningen certifikater automatisk via CT-logs, scanning og agent — eller skal alt tilføjes manuelt?
  • Kan den scanne interne netværk bag firewall? (Mange løsninger kan kun scanne internet-vendte systemer)
  • Opdager den certifikater udstedt af leverandører på jeres domæner?

Overvågning og alarmering

  • Overvåger den mere end blot udløbsdatoer? (Cipher suites, protokolversioner, kæder, OCSP)
  • Kan alarmer sendes til specifikke navngivne modtagere — ikke kun en fælles postboks?
  • Understøttes webhooks til Slack, Teams og andre ops-kanaler?

Fornyelse og automation

  • Understøtter løsningen ACME/Let's Encrypt til automatisk fornyelse?
  • Er der en CSR-workflow for certifikater der kræver manuel CA-behandling?

Compliance og dokumentation

  • Genererer løsningen compliance-rapporter (NIS2, ISO 27001)?
  • Er der en historisk audit-log som beviser løbende overvågning?
  • Kan rapporter eksporteres til PDF til bestyrelser og revisorer?

Drift og infrastruktur

  • Er løsningen hostet i EU? (Relevant for GDPR-overholdelse)
  • Er der en dedikeret instans per kunde, eller deles infrastruktur?
  • Hvilken support og SLA tilbydes?

Hvornår er et regneark ikke længere nok?

Regneark holder op med at fungere i tre situationer:

Når antal certifikater overstiger hvad én person kan overskue. Det er ikke et fast tal — det handler om kompleksiteten: certifikater spredt på tværs af systemer, teams og leverandører.

Når ejerskab er uklart. Hvis ingen ved hvem der "ejer" et certifikat, hjælper regnearket ikke — alarmen når ikke den rigtige person.

Når certifikatlevetiden falder. Med 47-dages certifikater i 2029 er manuel styring simpelthen ikke mulig — uanset størrelsen på organisationen.

Hvad NIS2 og andre reguleringer kræver

NIS2 Artikel 21(2)(a) kræver risikoanalyse og dokumenterede kontroller for informationssystemer — herunder TLS/PKI. Certifikatstyring software er ikke blot operationelt nyttigt; det er grundlaget for den dokumentation tilsynsmyndigheder forventer at se. En audit-log over løbende overvågning er langt stærkere end et statisk snapshot lavet dagen før inspektionen.

CertControl — hvad softwaren konkret gør

Evalueringschecklisten ovenfor beskriver hvad god certifikatstyringssoftware gør. Her er hvordan CertControl matcher de konkrete kriterier:

  • Opdagelse via CT-logs, aktiv scanning og on-premise agent. CT-logforespørgsler finder alle offentligt betroede certifikater på dine domæner automatisk. Aktiv scanning bekræfter hvilke der aktuelt er live. On-premise agenten opdager interne certifikater bag firewall — AD-servere, intranet, CI/CD-pipelines — som ekstern scanning ikke når.
  • Overvågning af mere end udløb: cipher suites, protokolversioner, kædesundhed, OCSP, sikkerhedsheadere. Hvert endepunkt scannes mod syv kategorier af svage kryptografiske konfigurationer. HSTS-tilstedeværelse, certifikatkædefuldstændighed og OCSP stapling-konfiguration er en del af standardscanningen.
  • Advarsler til specifikke navngivne modtagere med konfigurerbare tærskler. Ingen fælles postkasse. Hvert certifikat har en navngivet ejer i systemet; advarsler routes direkte. Webhooks til Slack og Teams understøttes.
  • ACME/Let's Encrypt med HTTP-01 og DNS-01 challenges. CertControl håndterer automatisk fornyelse for ACME-kompatible certifikater. Private nøgler krypteres med AES-256-GCM.
  • NIS2- og ISO 27001-compliance rapporter med historisk audit-log. Executive-rapporter, driftsrisikorapporter, udløbsprognoser og konfigurationsdrift-rapporter genereres løbende. Audit-loggen er den dokumentation tilsynsmyndigheder ikke kan bestride.
  • EU-hostet, dedikeret instans per kunde. Ingen delt infrastruktur. Relevant for GDPR og for organisationer med krav til dataplacering.
Relaterede ressourcer
Se platformen Start gratis prøve