Microsoft ADCS スタンドアロン CA とエンタープライズ CA の違い

Question 1

スタンドアロン CA とエンタープライズ CA には大きな違いがあり、それぞれに使用シナリオがあります。

エンタープライズ CA

このタイプの CA は次の機能を提供します。

Active Directoryとの緊密な統合

AD フォレストにエンタープライズ CA をインストールすると、それが AD に自動的に公開され、各 AD フォレストメンバーは CA とすぐに通信して証明書を要求できるようになります。

証明書テンプレート

証明書テンプレートを使用すると、企業は使用目的などに応じて発行された証明書を標準化できます。管理者は必要な証明書テンプレートを（適切な設定で）構成し、CA に渡して発行します。互換性のある受信者は手動での要求生成に煩わされることなく、CryptoAPI プラットフォームが自動的に正しい証明書要求を準備し、CA に送信して発行された証明書を取得します。要求プロパティの一部が無効な場合、CA は証明書テンプレートまたは Active Directory からの正しい値でそれらを上書きします。

証明書の自動登録

は、エンタープライズ CA のキラー機能です。自動登録により、構成されたテンプレートの証明書を自動的に登録できます。ユーザーの操作は必要なく、すべてが自動的に行われます (もちろん、自動登録には初期構成が必要です)。

鍵アーカイブ

この機能はシステム管理者によって過小評価されていますが、ユーザーの暗号化証明書のバックアップソースとしては非常に価値があります。秘密キーを紛失した場合、必要に応じて CA データベースから回復できます。そうしないと、暗号化されたコンテンツにアクセスできなくなります。

スタンドアロン CA

このタイプの CA は、エンタープライズ CA によって提供される機能を利用できません。つまり、

証明書テンプレートなし

つまり、すべてのリクエストは手動で準備する必要があり、証明書に含める必要のあるすべての情報を含める必要があります。証明書テンプレートの設定によっては、エンタープライズ CA はキー情報のみを要求し、残りの情報は CA によって自動的に取得される場合があります。スタンドアロン CA は情報ソースがないため、これを行いません。リクエストは文字通り完全である必要があります。

手動証明書要求承認

スタンドアロン CA は証明書テンプレートを使用しないため、すべての要求は CA マネージャーによって手動で検証され、要求に危険な情報が含まれていないことを確認する必要があります。

自動登録なし、キーのアーカイブなし

スタンドアロン CA は Active Directory を必要としないため、このタイプの CA ではこれらの機能は無効になっています。

まとめ

スタンドアロン CA は行き止まりのように見えるかもしれませんが、そうではありません。エンタープライズ CA は、エンドエンティティ (ユーザー、デバイス) に証明書を発行するのに最適であり、「大量、低コスト」のシナリオ向けに設計されています。

一方、スタンドアロン CA は、オフラインのものも含め、「低ボリューム、高コスト」のシナリオに最適です。通常、スタンドアロン CA はルート CA およびポリシー CA として機能し、他の CA にのみ証明書を発行します。証明書のアクティビティは非常に少ないため、スタンドアロン CA を適度な期間 (6 ～ 12 か月) オフラインにしておき、新しい CRL を発行するか、新しい下位 CA 証明書に署名する場合のみオンにすることができます。オフラインにしておくことで、キーのセキュリティが強化されます。ベストプラクティスでは、スタンドアロン CA をネットワークに接続せず、適切な物理的セキュリティを提供することが推奨されています。

企業全体の PKI を実装する場合は、オフラインのスタンドアロンルート CA と、Active Directory で動作するオンラインのエンタープライズ下位 CA を使用した 2 層 PKI アプローチに重点を置く必要があります。

Answer

スタンドアロン CA とエンタープライズ CA には大きな違いがあり、それぞれに使用シナリオがあります。

エンタープライズ CA

このタイプの CA は次の機能を提供します。

Active Directoryとの緊密な統合

AD フォレストにエンタープライズ CA をインストールすると、それが AD に自動的に公開され、各 AD フォレストメンバーは CA とすぐに通信して証明書を要求できるようになります。

証明書テンプレート

証明書テンプレートを使用すると、企業は使用目的などに応じて発行された証明書を標準化できます。管理者は必要な証明書テンプレートを（適切な設定で）構成し、CA に渡して発行します。互換性のある受信者は手動での要求生成に煩わされることなく、CryptoAPI プラットフォームが自動的に正しい証明書要求を準備し、CA に送信して発行された証明書を取得します。要求プロパティの一部が無効な場合、CA は証明書テンプレートまたは Active Directory からの正しい値でそれらを上書きします。

証明書の自動登録

は、エンタープライズ CA のキラー機能です。自動登録により、構成されたテンプレートの証明書を自動的に登録できます。ユーザーの操作は必要なく、すべてが自動的に行われます (もちろん、自動登録には初期構成が必要です)。

鍵アーカイブ

この機能はシステム管理者によって過小評価されていますが、ユーザーの暗号化証明書のバックアップソースとしては非常に価値があります。秘密キーを紛失した場合、必要に応じて CA データベースから回復できます。そうしないと、暗号化されたコンテンツにアクセスできなくなります。

スタンドアロン CA

このタイプの CA は、エンタープライズ CA によって提供される機能を利用できません。つまり、

証明書テンプレートなし

つまり、すべてのリクエストは手動で準備する必要があり、証明書に含める必要のあるすべての情報を含める必要があります。証明書テンプレートの設定によっては、エンタープライズ CA はキー情報のみを要求し、残りの情報は CA によって自動的に取得される場合があります。スタンドアロン CA は情報ソースがないため、これを行いません。リクエストは文字通り完全である必要があります。

手動証明書要求承認

スタンドアロン CA は証明書テンプレートを使用しないため、すべての要求は CA マネージャーによって手動で検証され、要求に危険な情報が含まれていないことを確認する必要があります。

自動登録なし、キーのアーカイブなし

スタンドアロン CA は Active Directory を必要としないため、このタイプの CA ではこれらの機能は無効になっています。

まとめ

スタンドアロン CA は行き止まりのように見えるかもしれませんが、そうではありません。エンタープライズ CA は、エンドエンティティ (ユーザー、デバイス) に証明書を発行するのに最適であり、「大量、低コスト」のシナリオ向けに設計されています。

一方、スタンドアロン CA は、オフラインのものも含め、「低ボリューム、高コスト」のシナリオに最適です。通常、スタンドアロン CA はルート CA およびポリシー CA として機能し、他の CA にのみ証明書を発行します。証明書のアクティビティは非常に少ないため、スタンドアロン CA を適度な期間 (6 ～ 12 か月) オフラインにしておき、新しい CRL を発行するか、新しい下位 CA 証明書に署名する場合のみオンにすることができます。オフラインにしておくことで、キーのセキュリティが強化されます。ベストプラクティスでは、スタンドアロン CA をネットワークに接続せず、適切な物理的セキュリティを提供することが推奨されています。

企業全体の PKI を実装する場合は、オフラインのスタンドアロンルート CA と、Active Directory で動作するオンラインのエンタープライズ下位 CA を使用した 2 層 PKI アプローチに重点を置く必要があります。

Question 2

すでに述べたように、AD統合は明らかに大きなものです。簡単な比較をご覧ください。ここ著者は、その違いを次のようにまとめています。

ドメイン内のコンピュータは、エンタープライズ CA が発行する証明書を自動的に信頼します。スタンドアロン CA では、グループポリシーを使用して、ドメイン内の各コンピュータの信頼されたルート CA ストアに CA の自己署名証明書を追加する必要があります。エンタープライズ CA を使用すると、コンピュータの証明書の要求とインストールのプロセスを自動化することもできます。また、Windows Server 2003 Enterprise Edition サーバーでエンタープライズ CA を実行している場合は、自動登録機能を使用してユーザーの証明書登録を自動化することもできます。

Answer

すでに述べたように、AD統合は明らかに大きなものです。簡単な比較をご覧ください。ここ著者は、その違いを次のようにまとめています。

ドメイン内のコンピュータは、エンタープライズ CA が発行する証明書を自動的に信頼します。スタンドアロン CA では、グループポリシーを使用して、ドメイン内の各コンピュータの信頼されたルート CA ストアに CA の自己署名証明書を追加する必要があります。エンタープライズ CA を使用すると、コンピュータの証明書の要求とインストールのプロセスを自動化することもできます。また、Windows Server 2003 Enterprise Edition サーバーでエンタープライズ CA を実行している場合は、自動登録機能を使用してユーザーの証明書登録を自動化することもできます。

Question 3

エンタープライズ CA は企業にとって便利な機能を提供します (ただし、Active Directory ドメインサービスへのアクセスが必要です)。

グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関の証明書ストアに証明書を伝播します。
ユーザー証明書と証明書失効リスト (CRL) を AD DS に公開します。証明書を AD DS に公開するには、CA がインストールされているサーバーが証明書発行者グループのメンバーである必要があります。これは、サーバーが属するドメインでは自動的に行われますが、他のドメインで証明書を公開するには、サーバーに適切なセキュリティアクセス許可を委任する必要があります。
エンタープライズ CA は、証明書の登録時にユーザーの資格情報チェックを実施します。各証明書テンプレートには、証明書の要求者が要求した種類の証明書を受け取る権限があるかどうかを決定する、AD DS のセキュリティアクセス許可セットがあります。
証明書のサブジェクト名は、AD DS の情報から自動的に生成することも、要求者によって明示的に指定することもできます。

詳細情報スタンドアロンそして企業ADCS CA。

Answer

エンタープライズ CA は企業にとって便利な機能を提供します (ただし、Active Directory ドメインサービスへのアクセスが必要です)。

グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関の証明書ストアに証明書を伝播します。
ユーザー証明書と証明書失効リスト (CRL) を AD DS に公開します。証明書を AD DS に公開するには、CA がインストールされているサーバーが証明書発行者グループのメンバーである必要があります。これは、サーバーが属するドメインでは自動的に行われますが、他のドメインで証明書を公開するには、サーバーに適切なセキュリティアクセス許可を委任する必要があります。
エンタープライズ CA は、証明書の登録時にユーザーの資格情報チェックを実施します。各証明書テンプレートには、証明書の要求者が要求した種類の証明書を受け取る権限があるかどうかを決定する、AD DS のセキュリティアクセス許可セットがあります。
証明書のサブジェクト名は、AD DS の情報から自動的に生成することも、要求者によって明示的に指定することもできます。

詳細情報スタンドアロンそして企業ADCS CA。

Microsoft ADCS スタンドアロン CA とエンタープライズ CA の違い

答え1

エンタープライズ CA

スタンドアロン CA

まとめ

答え2

答え3

関連情報