Certificate Inventory Manager

Der Certificate Inventory Manager erfasst Zertifikate und private Schlüssel über die gesamte Windows-Landschaft hinweg – aus dem Computer-Store (LocalMachine\My) und dem Benutzer-Store (CurrentUser\My) von Servern und Clients sowie zusätzlich als lose Dateien direkt im Dateisystem (z. B. .pfx, .p12, .key, .pem, .cer). Die Erfassung erfolgt lokal oder remote über WinRM, die Auswertung über ein Dashboard, eine durchsuchbare Zertifikatsliste und revisionssichere Berichte in PDF, HTML und CSV.

„Volle Sicht auf Ihre Kryptografie.”

Zielgruppe

Das Tool richtet sich an alle, die für die Sicherheit und Nachweisbarkeit kryptographischer Assets in Windows-Umgebungen verantwortlich sind:

  • IT-Administratoren und Windows-Systemverantwortliche, die Zertifikate über viele Server und Clients hinweg im Blick behalten müssen.
  • Managed Service Provider (MSP), die Zertifikatsbestände mehrerer Kundendomänen zentral inventarisieren und gegenüber dem Kunden belegen.
  • Informationssicherheitsbeauftragte (ISB) und Compliance-Verantwortliche, die Nachweise für Audits nach BSI IT-Grundschutz, ISO 27001, NIS2 oder DSGVO erbringen.
  • PKI- und Active-Directory-Verantwortliche, die Ausstellerverteilung, Schlüsselstärken und Ablauffristen überwachen.
  • Auditoren und Datenschutzbeauftragte, die einen objektiven, dokumentierten Stand des Zertifikatsbestands benötigen.

Hauptmerkmale

  • Auslesen von Computer- und Benutzer-Store auf Windows-Servern und -Clients – lokal oder remote per WinRM (HTTP 5985 / HTTPS 5986, optional Zertifikatsprüfung überspringen).
  • Mehrbenutzer-Scan: Benutzer-Zertifikate aller Profile einer Maschine (Datei- und Registry-Speicher), nicht nur des verbindenden Kontos.
  • Dateisystem-Scan: rekursive Suche nach losen Zertifikats- und Schlüsseldateien (.cer, .crt, .pem, .der, .pfx, .p12, .p7b, .key, .csr, .crl, .jks) – lokal und auf mehreren Remote-Servern.
  • Übernahme von Computerobjekten direkt aus dem Active Directory über den AD-Explorer.

Lizenzierung

Gute Software muss nicht teuer sein.

Einmalig 299,00 € (inkl. 19% MwSt.)

  • Standortlizenz ohne Benutzerbegrenzung
  • Keine Folgekosten, keine Abonnements
  • Kostenlose Updates innerhalb der Hauptversion

Produktinformation Certificate Inventory Manager

FREE DOWNLOAD

Send download link to:

Ich bestätige, die Datenschutzerklärung gelesen zu haben.

Schützen kann man nur, was man kennt.

Ziel ist vollständige Transparenz: Welche Zertifikate existieren, wo liegen sie, wann laufen sie ab, wie stark sind ihre Schlüssel – und vor allem: Wo liegen private Schlüssel ungeschützt im Dateisystem herum?

Certificate Inventory Manager

Maschinen im Manager anlegen

Im „Manager“ verwalten Sie alle Systeme, deren Zertifikate ausgelesen werden sollen.

  1. Reiter „Manager“ öffnen und „+ Maschine“ klicken.
  2. Anzeigename und Hostname/FQDN/IP eingeben.
  3. Verbindungsart wählen: „Lokal“ (dieser Computer, ohne WinRM), „WinRM HTTPS“ (Port 5986) oder „WinRM HTTP“ (Port 5985).
  4. Anmeldung festlegen: „Angemeldeten Benutzer verwenden“ oder Benutzer und Passwort angeben (wird AES-256-verschlüsselt gespeichert).
  5. „Verbindung testen“, anschließend speichern.

Alternativ übernehmen Sie über „AD-Explorer…“ Computerobjekte direkt aus dem Active Directory: Treffer markieren, Verbindungsart wählen und übernehmen. Bereits vorhandene Maschinen werden dabei übersprungen.

Maschinen im Manager anlegen

Dashboard auswerten

Das Dashboard aktualisiert sich nach jedem Scan automatisch und gliedert sich in folgende Bereiche:

  • Kennzahlen: Zertifikate gesamt, Computer-Store, Benutzer-Store, mit privatem Schlüssel.
  • Risiko: Abgelaufen, Ablauf in ≤30 bzw. ≤90 Tagen, schwache Schlüssel (RSA < 2048 Bit).
  • Verteilungen: Nach Verwendungszweck (EKU) und nach Aussteller. Server- und Clientauthentifizierung werden getrennt gezählt, kombinierte TLS-Zertifikate separat (keine Doppelzählung).
  • Private Schlüssel & Schlüsseldateien (Dateisystem): PFX/P12-Container, verschlüsselt (PFX/P12, Passwort), .key-Dateien gesamt und .key mit Priv-Key (ohne Passwort). Diese Reihe füllt sich erst, nachdem ein Dateisystem-Scan gelaufen ist.

Dashboard auswerten

Dateisystem nach Schlüsseldateien durchsuchen

Dieser Bereich findet lose Zertifikats- und Schlüsseldateien auf Datenträgern – die häufigste Quelle ungeschützter privater Schlüssel.

  1. Reiter „Zertifikate File-System“ öffnen.
  2. Optional „Ziele wählen…“ und einen oder mehrere Server aus dem Manager auswählen; ohne Auswahl wird der lokale Computer durchsucht.
  3. Startverzeichnis eingeben oder über „Durchsuchen…“ wählen (Standard C:\).
  4. „Scan starten“ – die Statuszeile zeigt fortlaufend geprüfte Dateien, Funde und das aktuelle Verzeichnis. „Stopp“ bricht jederzeit ab.
  5. Über das Suchfeld sowie die Schalter „nicht lesbar“ und „kein gültiges Zertifikat“ die Trefferliste eingrenzen.
  6. Doppelklick öffnet die Detailansicht; der vollständige Pfad ist dort kopierbar.

Welche Dateiendungen gesucht und welche Ordner ausgeschlossen werden, legen Sie unter „Einstellungen → Dateisystem-Scan“ fest. Der Windows-Komponentenspeicher (\Windows\WinSxS) wird stets übersprungen.

Dateisystem nach Schlüsseldateien durchsuchen

Einstellungen

  • WinRM-Standardwerte: Verbindungsart, HTTP-/HTTPS-Ports, Timeout und Zertifikatsprüfung als Vorgabe für neue Maschinen.
  • Scan-Optionen: Computer-Store, Benutzer-Store und „Alle Benutzerprofile einbeziehen“ (Administrator-/SYSTEM-Rechte nötig).
  • Dateisystem-Scan: gesuchte Endungen und ausgeschlossene Ordner (Platzhalter * und ?). Diese Angaben werden sofort übernommen.
  • SMTP: Server, Port, SSL/TLS, Konto und Absender; mit „Test-Mail senden“ direkt prüfbar.

Certificate Inventory Manager Settings

Typische Praxisfälle

Quartals-Audit über alle Server

  1. Im Manager alle relevanten Server als aktiv markieren, nicht benötigte auf passiv setzen.
  2. „Alle scannen“ ausführen.
  3. Im Dashboard die Risiko-Kennzahlen prüfen (abgelaufen, ≤30/≤90 Tage, schwache Schlüssel).
  4. Unter „Reports“ Kundenname setzen und „Alle erzeugen“ – PDF/HTML/CSV als Nachweis ablegen.

Lose private Schlüssel aufspüren

  1. „Zertifikate File-System“ öffnen, Ziel(e) und Startverzeichnis wählen.
  2. Scan ausführen.
  3. Im Dashboard die Reihe „Private Schlüssel & Schlüsseldateien“ prüfen – besonders „.key mit Priv-Key (ohne Passwort)“.
  4. Betroffene Funde in der Liste über „Priv-Key“ und Status identifizieren und absichern bzw. entfernen.

Regulatorische Grundlage

Der sichere Umgang mit kryptographischen Schlüsseln – einschließlich des Verbots, private Schlüssel ungeschützt abzulegen – ergibt sich aus mehreren Regelwerken. Die folgende Zuordnung nennt die jeweils einschlägige Stelle und den Beitrag des Tools.

BSI IT-Grundschutz

  • 1 „Kryptokonzept“: fordert ein geregeltes Schlüsselmanagement über den gesamten Lebenszyklus – insbesondere die sichere Erzeugung, Speicherung, Verteilung und Vernichtung kryptographischer Schlüssel sowie den Schutz privater Schlüssel vor unbefugtem Zugriff. Ungeschützt im Dateisystem liegende Schlüssel widersprechen dieser Anforderung unmittelbar.
  • BSI TR-02102-1 „Kryptographische Verfahren – Empfehlungen und Schlüssellängen“: gibt Mindestschlüssellängen vor (RSA praktisch ≥ 2000/3000 Bit). Hieraus leitet sich die Kennzeichnung schwacher Schlüssel (RSA < 2048 Bit) im Tool ab.
  • 4 „Identitäts- und Berechtigungsmanagement“: Zertifikate sind an Identitäten gebunden; ihr Bestand muss bekannt und kontrolliert sein.

NIST

  • NIST SP 800-57 „Recommendation for Key Management“: beschreibt den Schutz und den Lebenszyklus privater Schlüssel. Unbeaufsichtigte oder ungeschützte Schlüssel gelten ausdrücklich als Risiko, das durch Zugriffsschutz und Inventarisierung zu adressieren ist.
  • NIST SP 1800-16 „Securing Web Transactions: TLS Server Certificate Management“: empfiehlt explizit eine vollständige Inventarisierung von Zertifikaten, um unbekannte, abgelaufene oder nicht autorisierte Zertifikate zu vermeiden – genau die Aufgabe dieses Tools.
  • NIST SP 800-52 „Guidelines for TLS Implementations“: konkretisiert sichere TLS- und Zertifikatskonfigurationen.

Datenschutz (DSGVO) und ISO/NIS2

  • DSGVO Art. 32 „Sicherheit der Verarbeitung“: verlangt angemessene technische und organisatorische Maßnahmen – ausdrücklich einschließlich Verschlüsselung – zum Schutz personenbezogener Daten. Ein ungeschützter privater Schlüssel gefährdet die Vertraulichkeit verschlüsselter Daten und untergräbt damit eine zentrale Schutzmaßnahme; sichere Schlüsselverwaltung ist Voraussetzung für die Wirksamkeit der Verschlüsselung.
  • ISO/IEC 27001:2022, Anhang A: Control 8.24 „Use of cryptography“ (Einsatz und Schlüsselverwaltung) sowie 5.9 „Inventory of information and other associated assets“ (Inventarisierung von Werten) verlangen sowohl geregeltes Schlüsselmanagement als auch ein vollständiges Asset-Inventar.
  • NIS2-Richtlinie (EU) 2022/2555, Art. 21: fordert Risikomanagementmaßnahmen einschließlich Kryptographie und Verschlüsselung; eine belastbare Bestandsaufnahme ist hierfür Grundlage.

Teil der ISW-Tools Suite von IT-Service Walter

Certificate Inventory Manager – „Vom blinden Fleck zum Audit-Nachweis.”

© 2026 IT-Service Walter | Alle Rechte vorbehalten