CyberArk
官方技術文件
- CyberArk 文件總入口 — 所有 CyberArk 產品文件統一入口
- PAM Self-Hosted 管理指南 — 特權帳號管理地端版
- Privilege Cloud 文件中心 — 特權帳號管理雲端版
- Secrets Manager Self-Hosted 文件 — 機密管理(Conjur)
- Certificate Manager Self-Hosted 文件 — 憑證管理地端版
- Certificate Manager SaaS 文件 — 憑證管理雲端版
版本更新與新功能
- PAM Self-Hosted Release Notes — 最新版本 15.0 新功能與修正
- Privilege Cloud Release Notes — 雲端版更新日誌
產品生命週期(EOL)
- CyberArk 產品生命週期表 — 各版本支援終止日期
弱點安全公告
- CyberArk Product Security — 弱點揭露與修補政策
- CyberArk Security Bulletins — 安全公告清單
- CyberArk 技術社群 — Security Bulletin — 社群安全公告討論
技術社群
- CyberArk 技術社群 — 技術論壇與知識庫
- CyberArk 客戶支援入口 — 開 Case 與下載
常見問題 FAQ
以下 FAQ 由頤合資訊根據多年協助台灣金融機構導入 CyberArk 特權管理與憑證管理解決方案的實戰經驗整理。
Q1:CyberArk Certificate Manager(CCM)跟一般的密碼管理工具或 DevOps 密碼庫在憑證管理上有什麼根本差異?
這是客戶最常問的問題。市面上有些工具(例如以 DevOps 密碼管理為核心的開源或商業方案)雖然也提供 PKI 簽發功能(像是內建 PKI Engine),但那只是整個憑證管理的「其中一個環節」。
根本差異在於:CCM 是專門為「企業級憑證生命週期管理(CLM)」設計的平台,而不是一個「順便可以簽憑證的密碼庫」。
具體來說:
一般密碼管理工具能做到的:
- 簽發憑證(PKI Engine)
- 儲存憑證與私鑰
- API 取用憑證
CCM 額外做到、但一般工具做不到或做不好的:
- 電子化申請與多層審核工作流程(Workflow),取代紙本簽核
- CSR 與申請表單的自動比對驗證,消除人工誤差
- 同時整合多家 CA(內部 ADCS + 外部 TWCA / DigiCert / GlobalSign 等),統一控管核發流程
- Agentless 架構自動部署憑證至 40+ 種平台(IIS / Apache / Nginx / F5 / Citrix / OCP 等),目標主機零安裝
- 全環境憑證探索(Discovery),一鍵掃描建立完整憑證清冊,找出孤兒憑證
- 到期智慧預警(可設定 90 / 47 / 14 天多道提醒),支援自動續期或通知重新申請
- 申請→審核→核發→部署→續期→撤銷的全程稽核軌跡,直接用於金檢提報
- 集中儀表板一覽全環境憑證到期狀態,角色分工(申請者 / 審核者 / 管理者)三層架構
簡單來說:一般工具解決的是「怎麼簽一張憑證」,CCM 解決的是「怎麼管理企業裡上千張憑證的完整生命週期,從申請到撤銷全程自動化、可稽核」。Venafi(CCM 前身)在這個領域深耕超過 20 年,全球超過 650 家頂級企業客戶,是 Gartner CLM 憑證生命週期管理代表性廠商。
Q2:我們的環境有多種 CA(內部 ADCS + 外部 CA),CCM 能統一管理嗎?
可以,這正是 CCM 的核心優勢之一。
台灣金融機構通常同時使用多家 CA:內部的 Microsoft AD CS(Active Directory Certificate Services)用於簽發內部伺服器憑證,外部則使用 TWCA(台灣網路認證中心)、DigiCert、GlobalSign 等公開信任 CA 簽發對外服務憑證,有些機構還涉及政府 GCA 憑證。
CCM 的處理方式:
- 對於支援自動化整合的 CA(如 ADCS、DigiCert、GlobalSign、TWCA 等),CCM 可以全自動完成 CSR 產生→提交→簽發→取回→部署的完整流程
- 對於暫不支援自動化整合的 CA(如部分政府憑證),CCM 負責核發後的自動部署、監控與稽核,前段申請仍可透過電子表單管理
- 所有 CA 核發的憑證統一在 CCM 平台集中可視化管理,不需要分別登入不同的 CA 管理介面
這解決了金融機構最常見的痛點:內外部 CA 核發方式不一致、人工手動執行、缺乏統一管控。
Q3:CCM 是 Agentless 的嗎?部署憑證到目標主機需要安裝 Agent 嗎?
CCM 採用 Agentless 架構,目標主機完全不需要安裝任何 Agent。CCM 透過各平台原生的管理介面或協定(如 WinRM、SSH、REST API 等)直接連線至目標主機,自動完成憑證的安裝、更新與狀態回報。
原生支援 40+ 平台,涵蓋金融機構最常見的環境:
| 類別 | 支援平台 |
|---|---|
| Web Server | IIS、Apache、Nginx、IBM Http Server |
| 應用服務 | OpenShift(OCP)、MMC、Tomcat、JBoss、WebSphere |
| 網路設備 | F5 BIGIP、Citrix NetScaler |
| 憑證存放 | Windows 憑證存放區、Java Keystore(JKS)、PEM 檔案 |
| 目錄服務 | Microsoft AD CS(DC) |
Agentless 的好處是大幅降低部署與維運複雜度——不需要在每一台目標主機上安裝、更新、監控 Agent 的狀態,也不會因為 Agent 異常而影響目標主機的正常運作。
Q4:47 天憑證新規對我們有什麼影響?CCM 怎麼幫我們應對?
2025 年 CA/Browser Forum 全票通過 TLS 憑證有效期分階段縮短的決議,最終將在 2029 年前降至 47 天。Apple 已率先宣布強制執行。
影響有多大? 以一家擁有 1,000 張 TLS 憑證的企業為例:在現行 398 天有效期下,平均每天需處理約 2.5 張更新;當有效期降至 47 天,每天需處理超過 21 張更新——更新頻率暴增 8 倍以上。
依賴人工流程(紙本申請→主管簽核→手動產 CSR→手動向 CA 申請→手動安裝→手動驗收)在這樣的更新密度下必然崩潰,憑證過期導致的服務中斷將成為常態。
CCM 的應對方式:
- 到期前多道智慧預警:可設定 90 / 47 / 14 天等多個提醒時間點
- 自動續期:對於已設定自動模式的憑證,CCM 在到期前自動完成續期全流程(CSR→CA 簽發→部署→驗證),零人工介入
- 手動觸發模式:對於需要人工審核的高風險憑證,到期時通知申請人重新發起申請,審核通過後 CCM 自動完成後續流程
- 服務週期管控:可設定憑證的服務週期(例如 3 年),屆期通知重新評估並中斷自動續期,確保定期人工檢視
Q5:CCM 如何跟我們現有的 CyberArk PAM 環境整合?
CCM 與 CyberArk PAM 平台原生整合,特別是透過 CCP(Credential Provider) 實現憑證部署過程中的特權密碼零儲存架構:
CCP 整合的價值:
- 當 CCM 需要連線至目標主機部署憑證時,部署過程中所需的特權帳號密碼由 CCP 即時向 Vault 取用,密碼不落地、不揭露、不存於任何系統
- CPM(Central Policy Manager)自動輪替服務帳號密碼,降低密碼外洩風險
- 如果企業已經部署 CyberArk PAM,現有的 CCP 授權可以直接沿用,無需額外採購
對金融機構的意義:
- 憑證管理與特權帳號管理在同一個平台體系下統一治理
- 金檢時可以同時提供特權帳號管理與憑證管理的完整稽核軌跡
- 整合 SailPoint / Jenkins / Ansible / RPA 等自動化工具,讓憑證部署融入 DevOps 與 IT 自動化流程
Q6:我們目前的憑證管理都靠紙本申請單和人工作業,導入 CCM 能改善哪些痛點?
這是台灣金融機構最普遍的現況。根據我們在多家金融機構的訪談,人工憑證管理通常面臨四大痛點:
| 痛點 | 現況 | CCM 改善方式 |
|---|---|---|
| 紙本申請繁瑣、簽核耗時 | 每個申請項目都要填寫紙本表單,逐級主管紙本簽核 | 全電子化申請入口,多層線上審核,流程即時透明追蹤 |
| CSR 與申請單資料不一致 | 上傳的 CSR 內容與申請單資料不一致,人工比對困難且易出錯 | 系統自動比對 CSR 與申請單 metadata,不一致即攔截 |
| 內外部 CA 核發方式不一致 | 內部 ADCS、外部 CA、其他單位的憑證核發與交付方式各異,全靠人工手動執行 | CCM 統一整合多家 CA 的核發流程,一個平台統一管控 |
| 驗收結案全靠人工手抄 | 憑證核發後的驗證、匯入、比對與結案全靠人工處理 | 系統自動驗證、部署並回寫確認,全程留存稽核軌跡 |
導入後最直接的改善:原本每張憑證從申請到結案需要數天的人工流程,縮短為數分鐘的自動化流程,同時每一步都有完整的稽核紀錄。
Q7:CCM 的電子化申請流程支援哪些申請模式?
CCM 的電子化申請表單(由頤合資訊建置)支援四種申請模式,涵蓋金融機構最常見的所有情境:
| 申請模式 | 適用情境 |
|---|---|
| 自動產生 CSR | 最常見模式。申請人填寫表單,CCM 自動產生 CSR、提交 CA、簽發、部署,全程自動 |
| 上傳既有 CSR | 申請人自行在主機端產生 CSR 後上傳,CCM 自動比對驗證後接手後續流程 |
| 代申請 | 由管理員代替不熟悉流程的單位提出申請 |
| 自購憑證納管 | 單位已自行購買憑證,僅需納入 CCM 統一管理與監控 |
所有模式都支援多層主管審核,審核通過後由 CCM 承接全程憑證治理作業。申請表單可與人資系統整合——當申請人離職時,系統自動觸發相關憑證的狀態檢視,確保憑證狀態與人員異動同步。
Q8:CCM 的稽核與報表能力如何?能直接用於金檢嗎?
可以。CCM 在憑證生命週期的每一個環節都自動留存完整的稽核軌跡:
- 申請紀錄:誰申請、什麼時候申請、申請的憑證規格(CN、SAN、金鑰長度等)
- 審核紀錄:哪些主管核准、核准時間、核准條件
- 核發紀錄:由哪個 CA 簽發、簽發時間、憑證序號、有效期
- 部署紀錄:部署到哪些主機、部署時間、部署結果(成功/失敗)
- 續期紀錄:自動續期或手動觸發、新舊憑證對應
- 預警紀錄:到期預警通知的發送對象與時間
這些紀錄可透過內建合規報表直接匯出,用於金管會金檢、內稽內控查核的提報。同時支援 SIEM 整合(Syslog 輸出),讓憑證管理日誌統一納入企業的資安監控體系。
集中儀表板提供全環境憑證到期狀態的即時視覺化概覽,高層可快速掌握整體風險概況,不需要逐一翻閱報表。
Q9:為什麼說 CCM 是「企業級」憑證管理?跟其他方案的定位差異在哪?
「企業級」體現在以下幾個面向,這些正是一般以開發者工具或密碼管理為出發點的方案較難做到的:
治理流程: CCM 內建完整的申請→審核→核發→部署→監控→續期→撤銷工作流程,支援多層審核與角色分工。企業級的憑證管理不只是「能簽發一張憑證」,而是「每一張憑證的來龍去脈都可追溯、可稽核、有人負責」。
規模與廣度: 支援 40+ 平台的 Agentless 自動部署,可同時整合多家 CA,全環境自動探索——這些能力是為了服務擁有上千張憑證、數百台伺服器、多種異質平台的大型企業而設計的。
合規導向: 內建合規報表、完整稽核軌跡、SIEM 整合、到期預警——這些功能的設計目標是滿足金融監理機關的查核要求,而不只是方便開發者操作。
成熟度: Venafi(CCM 前身)深耕機器身分管理超過 20 年,全球 55% 以上的 Fortune 500 企業採用,Gartner CLM 代表性廠商。2024 年 CyberArk 完成收購後,CCM 已成為 CyberArk 機器身分安全(Machine Identity Security)的核心產品。
頤合資訊的工程師團隊持有 CyberArk CDE-CERT-SH(Certificate Manager Self-Hosted)專業認證,已成功完成國內大型金融機構的 CCM + CCP POC,具備從架構規劃、導入建置到長期維運的完整服務能力。
需要技術支援?
如果您在上述資源中找不到所需的解答,或需要進一步的技術協助,頤合資訊的顧問團隊隨時為您服務。
電話 (02) 8226-2333 | 1-2 個工作天內回覆