Unterschied zwischen Microsoft ADCS Standalone CA und Enterprise CA

Question 1

Zwischen eigenständigen und Enterprise-CAs besteht ein erheblicher Unterschied, und jede hat ihr eigenes Anwendungsszenario.

Unternehmenszertifizierungsstellen

Dieser CA-Typ bietet die folgenden Funktionen:

enge Integration mit Active Directory

Wenn Sie Enterprise CA in einer AD-Gesamtstruktur installieren, wird es automatisch in AD veröffentlicht und jedes Mitglied der AD-Gesamtstruktur kann sofort mit der CA kommunizieren, um Zertifikate anzufordern.

Zertifikatsvorlagen

Mithilfe von Zertifikatsvorlagen können Unternehmen ausgestellte Zertifikate nach Verwendungszweck oder anderen Kriterien standardisieren. Administratoren konfigurieren erforderliche Zertifikatsvorlagen (mit den entsprechenden Einstellungen) und legen sie der Zertifizierungsstelle zur Ausstellung vor. Kompatible Empfänger müssen sich nicht mit der manuellen Anforderungserstellung herumschlagen, denn die CryptoAPI-Plattform erstellt automatisch die richtige Zertifikatsanforderung, übermittelt sie an die Zertifizierungsstelle und ruft das ausgestellte Zertifikat ab. Wenn einige Anforderungseigenschaften ungültig sind, überschreibt die Zertifizierungsstelle sie mit den richtigen Werten aus der Zertifikatsvorlage oder dem Active Directory.

Automatische Zertifikatregistrierung

ist ein Killer-Feature von Enterprise CA. Autoenrollment ermöglicht die automatische Registrierung von Zertifikaten für konfigurierte Vorlagen. Es ist keine Benutzerinteraktion erforderlich, alles geschieht automatisch (natürlich erfordert Autoenrollment eine anfängliche Konfiguration).

Schlüsselarchivierung

Diese Funktion wird von Systemadministratoren unterschätzt, ist aber als Backup-Quelle für Benutzerverschlüsselungszertifikate äußerst wertvoll. Wenn der private Schlüssel verloren geht, kann er bei Bedarf aus der CA-Datenbank wiederhergestellt werden. Andernfalls verlieren Sie den Zugriff auf Ihre verschlüsselten Inhalte.

Eigenständige Zertifizierungsstelle

Dieser CA-Typ kann die von Enterprise-CAs bereitgestellten Funktionen nicht nutzen. Das heißt:

Keine Zertifikatsvorlagen

Dies bedeutet, dass jede Anfrage manuell vorbereitet werden muss und alle erforderlichen Informationen enthalten muss, die in das Zertifikat aufgenommen werden sollen. Abhängig von den Einstellungen der Zertifikatsvorlage benötigt die Enterprise CA möglicherweise nur Schlüsselinformationen, die restlichen Informationen werden automatisch von der CA abgerufen. Die Standalone-CA tut dies nicht, da ihr die Informationsquelle fehlt. Die Anfrage muss buchstäblich vollständig sein.

manuelle Genehmigung der Zertifikatsanforderung

Da Standalone-CAs keine Zertifikatsvorlagen verwenden, muss jede Anfrage manuell von einem CA-Manager überprüft werden, um sicherzustellen, dass die Anfrage keine gefährlichen Informationen enthält.

keine automatische Registrierung, keine Schlüsselarchivierung

Da für eigenständige Zertifizierungsstellen kein Active Directory erforderlich ist, sind diese Funktionen für diesen Zertifizierungsstellentyp deaktiviert.

Zusammenfassung

Obwohl es so aussehen mag, als wäre eine Standalone-CA eine Sackgasse, ist das nicht der Fall. Enterprise-CAs eignen sich am besten für die Ausstellung von Zertifikaten an Endbenutzer (Benutzer, Geräte) und sind für Szenarien mit „hohem Volumen und geringen Kosten“ konzipiert.

Standalone-CAs hingegen eignen sich am besten für Szenarien mit „geringem Volumen und hohen Kosten“, einschließlich Offline-Szenarien. Standalone-CAs werden im Allgemeinen als Stamm- und Richtlinien-CAs verwendet und stellen Zertifikate nur an andere CAs aus. Da die Zertifikatsaktivität recht gering ist, können Sie die Standalone-CA für einen angemessenen Zeitraum (6–12 Monate) offline halten und nur einschalten, um neue CRLs auszustellen oder neue untergeordnete CA-Zertifikate zu signieren. Indem Sie sie offline halten, erhöhen Sie ihre Schlüsselsicherheit. Best Practices empfehlen, Standalone-CAs niemals an ein Netzwerk anzuschließen und für gute physische Sicherheit zu sorgen.

Bei der Implementierung einer unternehmensweiten PKI sollten Sie sich auf einen zweistufigen PKI-Ansatz mit einer Offline-Standalone-Stammzertifizierungsstelle und einer Online-untergeordneten Unternehmenszertifizierungsstelle konzentrieren, die in Ihrem Active Directory ausgeführt wird.

Answer

Zwischen eigenständigen und Enterprise-CAs besteht ein erheblicher Unterschied, und jede hat ihr eigenes Anwendungsszenario.

Unternehmenszertifizierungsstellen

Dieser CA-Typ bietet die folgenden Funktionen:

enge Integration mit Active Directory

Wenn Sie Enterprise CA in einer AD-Gesamtstruktur installieren, wird es automatisch in AD veröffentlicht und jedes Mitglied der AD-Gesamtstruktur kann sofort mit der CA kommunizieren, um Zertifikate anzufordern.

Zertifikatsvorlagen

Mithilfe von Zertifikatsvorlagen können Unternehmen ausgestellte Zertifikate nach Verwendungszweck oder anderen Kriterien standardisieren. Administratoren konfigurieren erforderliche Zertifikatsvorlagen (mit den entsprechenden Einstellungen) und legen sie der Zertifizierungsstelle zur Ausstellung vor. Kompatible Empfänger müssen sich nicht mit der manuellen Anforderungserstellung herumschlagen, denn die CryptoAPI-Plattform erstellt automatisch die richtige Zertifikatsanforderung, übermittelt sie an die Zertifizierungsstelle und ruft das ausgestellte Zertifikat ab. Wenn einige Anforderungseigenschaften ungültig sind, überschreibt die Zertifizierungsstelle sie mit den richtigen Werten aus der Zertifikatsvorlage oder dem Active Directory.

Automatische Zertifikatregistrierung

ist ein Killer-Feature von Enterprise CA. Autoenrollment ermöglicht die automatische Registrierung von Zertifikaten für konfigurierte Vorlagen. Es ist keine Benutzerinteraktion erforderlich, alles geschieht automatisch (natürlich erfordert Autoenrollment eine anfängliche Konfiguration).

Schlüsselarchivierung

Diese Funktion wird von Systemadministratoren unterschätzt, ist aber als Backup-Quelle für Benutzerverschlüsselungszertifikate äußerst wertvoll. Wenn der private Schlüssel verloren geht, kann er bei Bedarf aus der CA-Datenbank wiederhergestellt werden. Andernfalls verlieren Sie den Zugriff auf Ihre verschlüsselten Inhalte.

Eigenständige Zertifizierungsstelle

Dieser CA-Typ kann die von Enterprise-CAs bereitgestellten Funktionen nicht nutzen. Das heißt:

Keine Zertifikatsvorlagen

Dies bedeutet, dass jede Anfrage manuell vorbereitet werden muss und alle erforderlichen Informationen enthalten muss, die in das Zertifikat aufgenommen werden sollen. Abhängig von den Einstellungen der Zertifikatsvorlage benötigt die Enterprise CA möglicherweise nur Schlüsselinformationen, die restlichen Informationen werden automatisch von der CA abgerufen. Die Standalone-CA tut dies nicht, da ihr die Informationsquelle fehlt. Die Anfrage muss buchstäblich vollständig sein.

manuelle Genehmigung der Zertifikatsanforderung

Da Standalone-CAs keine Zertifikatsvorlagen verwenden, muss jede Anfrage manuell von einem CA-Manager überprüft werden, um sicherzustellen, dass die Anfrage keine gefährlichen Informationen enthält.

keine automatische Registrierung, keine Schlüsselarchivierung

Da für eigenständige Zertifizierungsstellen kein Active Directory erforderlich ist, sind diese Funktionen für diesen Zertifizierungsstellentyp deaktiviert.

Zusammenfassung

Obwohl es so aussehen mag, als wäre eine Standalone-CA eine Sackgasse, ist das nicht der Fall. Enterprise-CAs eignen sich am besten für die Ausstellung von Zertifikaten an Endbenutzer (Benutzer, Geräte) und sind für Szenarien mit „hohem Volumen und geringen Kosten“ konzipiert.

Standalone-CAs hingegen eignen sich am besten für Szenarien mit „geringem Volumen und hohen Kosten“, einschließlich Offline-Szenarien. Standalone-CAs werden im Allgemeinen als Stamm- und Richtlinien-CAs verwendet und stellen Zertifikate nur an andere CAs aus. Da die Zertifikatsaktivität recht gering ist, können Sie die Standalone-CA für einen angemessenen Zeitraum (6–12 Monate) offline halten und nur einschalten, um neue CRLs auszustellen oder neue untergeordnete CA-Zertifikate zu signieren. Indem Sie sie offline halten, erhöhen Sie ihre Schlüsselsicherheit. Best Practices empfehlen, Standalone-CAs niemals an ein Netzwerk anzuschließen und für gute physische Sicherheit zu sorgen.

Bei der Implementierung einer unternehmensweiten PKI sollten Sie sich auf einen zweistufigen PKI-Ansatz mit einer Offline-Standalone-Stammzertifizierungsstelle und einer Online-untergeordneten Unternehmenszertifizierungsstelle konzentrieren, die in Ihrem Active Directory ausgeführt wird.

Question 2

Offensichtlich ist die AD-Integration, wie Sie bereits erwähnt haben, ein großes Thema. Einen kurzen Vergleich finden Sie hierHierDer Autor fasst die Unterschiede wie folgt zusammen:

Computer in einer Domäne vertrauen automatisch Zertifikaten, die von Unternehmenszertifizierungsstellen ausgestellt werden. Bei eigenständigen Zertifizierungsstellen müssen Sie die Gruppenrichtlinie verwenden, um das selbstsignierte Zertifikat der Zertifizierungsstelle zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Computer in der Domäne hinzuzufügen. Mit Unternehmenszertifizierungsstellen können Sie außerdem den Prozess der Anforderung und Installation von Zertifikaten für Computer automatisieren. Wenn Sie eine Unternehmenszertifizierungsstelle auf einem Windows Server 2003 Enterprise Edition-Server ausführen, können Sie mit der Funktion zur automatischen Registrierung sogar die Zertifikatregistrierung für Benutzer automatisieren.

Answer

Offensichtlich ist die AD-Integration, wie Sie bereits erwähnt haben, ein großes Thema. Einen kurzen Vergleich finden Sie hierHierDer Autor fasst die Unterschiede wie folgt zusammen:

Computer in einer Domäne vertrauen automatisch Zertifikaten, die von Unternehmenszertifizierungsstellen ausgestellt werden. Bei eigenständigen Zertifizierungsstellen müssen Sie die Gruppenrichtlinie verwenden, um das selbstsignierte Zertifikat der Zertifizierungsstelle zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Computer in der Domäne hinzuzufügen. Mit Unternehmenszertifizierungsstellen können Sie außerdem den Prozess der Anforderung und Installation von Zertifikaten für Computer automatisieren. Wenn Sie eine Unternehmenszertifizierungsstelle auf einem Windows Server 2003 Enterprise Edition-Server ausführen, können Sie mit der Funktion zur automatischen Registrierung sogar die Zertifikatregistrierung für Benutzer automatisieren.

Question 3

Enterprise CA bietet nützliche Funktionen für Unternehmen (erfordert jedoch Zugriff auf Active Directory-Domänendienste):

Verwendet Gruppenrichtlinien, um sein Zertifikat an den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen für alle Benutzer und Computer in der Domäne weiterzugeben.
Veröffentlicht Benutzerzertifikate und Zertifikatsperrlisten (CRLs) in AD DS. Um Zertifikate in AD DS zu veröffentlichen, muss der Server, auf dem die Zertifizierungsstelle installiert ist, Mitglied der Gruppe „Zertifikatherausgeber“ sein. Dies geschieht automatisch für die Domäne, in der sich der Server befindet, aber dem Server müssen die entsprechenden Sicherheitsberechtigungen delegiert werden, um Zertifikate in anderen Domänen zu veröffentlichen.
Unternehmenszertifizierungsstellen erzwingen bei der Zertifikatsregistrierung die Überprüfung der Anmeldeinformationen von Benutzern. Für jede Zertifikatvorlage ist in AD DS ein Sicherheitsberechtigungssatz festgelegt, der bestimmt, ob der Zertifikatanforderer zum Empfang des angeforderten Zertifikattyps berechtigt ist.
Der Antragstellername des Zertifikats kann automatisch aus den Informationen in AD DS generiert oder explizit vom Anforderer bereitgestellt werden.

Mehr Infos überEigenständigeUndUnternehmenADCS-CA.

Answer

Enterprise CA bietet nützliche Funktionen für Unternehmen (erfordert jedoch Zugriff auf Active Directory-Domänendienste):

Verwendet Gruppenrichtlinien, um sein Zertifikat an den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen für alle Benutzer und Computer in der Domäne weiterzugeben.
Veröffentlicht Benutzerzertifikate und Zertifikatsperrlisten (CRLs) in AD DS. Um Zertifikate in AD DS zu veröffentlichen, muss der Server, auf dem die Zertifizierungsstelle installiert ist, Mitglied der Gruppe „Zertifikatherausgeber“ sein. Dies geschieht automatisch für die Domäne, in der sich der Server befindet, aber dem Server müssen die entsprechenden Sicherheitsberechtigungen delegiert werden, um Zertifikate in anderen Domänen zu veröffentlichen.
Unternehmenszertifizierungsstellen erzwingen bei der Zertifikatsregistrierung die Überprüfung der Anmeldeinformationen von Benutzern. Für jede Zertifikatvorlage ist in AD DS ein Sicherheitsberechtigungssatz festgelegt, der bestimmt, ob der Zertifikatanforderer zum Empfang des angeforderten Zertifikattyps berechtigt ist.
Der Antragstellername des Zertifikats kann automatisch aus den Informationen in AD DS generiert oder explizit vom Anforderer bereitgestellt werden.

Mehr Infos überEigenständigeUndUnternehmenADCS-CA.

Unterschied zwischen Microsoft ADCS Standalone CA und Enterprise CA

Antwort1

Unternehmenszertifizierungsstellen

Eigenständige Zertifizierungsstelle

Zusammenfassung

Antwort2

Antwort3

verwandte Informationen