Ab 2029 leben TLS-Zertifikate nur noch 47 Tage. Manuelle Prozesse skalieren nicht. NextPKI orchestriert den Lebenszyklus über jede CA, mit Policy-Gate vor jedem Issue.
Jedes Zertifikat folgt einer dokumentierten Policy. Jeder Schritt ist nachvollziehbar.
Standardpfad für ~80 % aller Workloads: NextPKI agiert als ACME-Client gegenüber jeder unterstützten CA.
Für CAs ohne ACME (DigiCert CertCentral, Sectigo, GlobalSign Reseller) gibt es robuste API-Integrationen mit Retry und Rate-Limit.
Zwei-Personen-Freigabe für EV-Zertifikate, Domain-Validation per E-Mail oder Slack, Audit-Trail per Default.
Welche Domain darf welche CA nutzen, welche Key-Größe, welche SAN-Liste, als YAML versionierbar.
Heute ECDSA, morgen ML-DSA. Policy-Migration ohne Code-Änderung in Ihren Workloads.
Berücksichtigt Maintenance-Windows, Rate-Limits der CA und Geschäfts-kritische Zeiträume.
Wir starten klein, mit einer Domain und einem Team, und ziehen das Modell schrittweise auf das ganze Portfolio.
Eine kontrollierte Reichweite, eine CA. End-to-end-Renewal verifizieren, Alerts kalibrieren.
Risiko-Klassen, Approval-Wege, Ownership, im Code, nicht im Kopf.
Weitere CAs anbinden, Reseller-Accounts authentifizieren, Quota-Verwaltung aktivieren.
Renewal läuft hands-off. Menschen werden nur noch bei Policy-Verletzungen oder neuen Workloads gerufen.
Sprechen Sie mit uns, wenn die ersten ACME-Skripte schon kratzen und Renewal-Vergessen Hauptursache für Incidents ist.