Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
PKI & Zertifikate

ACME jenseits des Webservers: Zertifikatsautomatisierung für interne Dienste und mTLS

17.03.2026 · 3 Min. Lesezeit

Kurze Laufzeiten lassen sich nur automatisiert beherrschen. Warum interne PKI, Service-Mesh und mTLS anderen Mustern folgen als das öffentliche Web und wie ACME auch hinter der Firewall funktioniert.

Die Verkürzung öffentlicher TLS-Laufzeiten auf perspektivisch 47 Tage hat ein Bewusstsein dafür geschaffen, dass manuelle Erneuerung nicht mehr skaliert. Was dabei oft übersehen wird: Im Inneren eines Unternehmens stecken meist deutlich mehr Zertifikate als an der nach außen sichtbaren Kante. Service-zu-Service-Kommunikation, mTLS in einem Service-Mesh, interne APIs und Datenbankverbindungen leben alle von Zertifikaten, und diese folgen anderen Mustern als das öffentliche Web.

Warum „intern" nicht „einfacher" heißt

Am öffentlichen Webserver ist die Lage übersichtlich: eine Handvoll Domains, eine öffentliche CA, ein klar definierter Validierungsweg. Im Inneren kehrt sich das Verhältnis um. Hier gibt es oft hunderte oder tausende kurzlebiger Endpunkte, die dynamisch entstehen und vergehen, etwa wenn ein Orchestrator neue Container startet. Eine interne CA stellt für sie Zertifikate aus, die niemand öffentlich sieht, die aber genauso ablaufen, sich genauso erneuern müssen und im Fehlerfall genauso einen Dienst lahmlegen.

Der Unterschied zur öffentlichen Welt ist also nicht geringere Bedeutung, sondern höhere Frequenz und Dynamik. Bei mTLS, wo sich beide Seiten gegenseitig mit einem Zertifikat ausweisen, verdoppelt sich die Zahl der zu verwaltenden Identitäten zusätzlich.

ACME ist nicht nur für Let’s Encrypt

ACME (RFC 8555) ist als Protokoll für die automatische Ausstellung und Erneuerung bekannt geworden, vor allem über Let’s Encrypt im öffentlichen Web. Das Protokoll selbst ist aber CA-agnostisch. Eine interne CA kann eine ACME-Schnittstelle anbieten, und dann erneuern sich interne Dienste nach demselben Mechanismus selbst, ohne dass jemand ein Zertifikat von Hand bestellt.

Für die interne Validierung greifen dabei andere Challenge-Typen als im öffentlichen Web. Die HTTP-Challenge, die für öffentliche Domains üblich ist, passt selten zu internen Diensten. Stattdessen kommen DNS-basierte Verfahren oder, je nach Umgebung, an die Plattform gebundene Identitätsnachweise zum Zug. Service-Meshes lösen das teils intern über eine eigene Identitätsschicht und kurzlebige Zertifikate mit Lebensdauern von Stunden statt Wochen.

Was den Unterschied macht

Drei Fähigkeiten entscheiden darüber, ob interne Automatisierung trägt.

Discovery auch nach innen. Der gefährliche Ausfall ist selten das gepflegte Frontend-Zertifikat. Es ist das vergessene Zertifikat auf einem internen Dienst, einer Appliance oder in einem Cluster, den niemand mehr aktiv beobachtet. Ein Inventar muss interne Endpunkte ebenso erfassen wie öffentliche.

Eine CA-agnostische Sicht. In gewachsenen Umgebungen existieren meist mehrere CAs nebeneinander: eine öffentliche für die Außenkante, eine oder mehrere interne, dazu vielleicht eine Cloud-eigene. Eine Verwaltung, die über alle hinweg einen einheitlichen Blick und einheitliche Erneuerung bietet, verhindert, dass jede CA ihre eigene Insel mit eigenen Lücken wird.

Erneuerung mit Kontrolle. Vollautomatik ist das Ziel, aber nicht um den Preis verlorener Nachvollziehbarkeit. Wo es nötig ist, gehört zum automatischen Renewal ein dokumentierter Genehmigungs- und Protokollschritt, damit auch bei hoher Frequenz nachvollziehbar bleibt, was wann ausgestellt wurde.

Genau dieses Muster, Discovery zuerst, dann CA-agnostische Automatisierung mit Approval, liegt unserem Modul NextPKI zugrunde. Die Stoßrichtung gilt jedoch unabhängig vom Werkzeug: Wer die kurzen Laufzeiten der Außenkante beherrscht, aber das Innere übersieht, hat das eigentliche Volumen nicht im Griff.

Die 47-Tage-Diskussion ist ein guter Anlass, den Blick zu weiten. Die meisten Zertifikate eines Unternehmens stehen nicht im Schaufenster, sondern im Maschinenraum.

Zurück zum Blog

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz