Diferencia entre Microsoft ADCS CA independiente y CA empresarial

Existe una diferencia significativa entre las CA independientes y empresariales y cada una tiene su escenario de uso.

CA empresariales

Este tipo de CA ofrece las siguientes características:

• estrecha integración con Active Directory

Cuando instala Enterprise CA en el bosque de AD, se publica automáticamente en AD y cada miembro del bosque de AD puede comunicarse inmediatamente con CA para solicitar certificados.

• plantillas de certificado

Las plantillas de certificados permiten a las empresas estandarizar los certificados emitidos según su uso o cualquier otra cosa. Los administradores configuran las plantillas de certificado requeridas (con la configuración adecuada) y las envían a la CA para su emisión. Los destinatarios compatibles no tienen que preocuparse por la generación manual de solicitudes, la plataforma CryptoAPI preparará automáticamente la solicitud de certificado correcta, la enviará a la CA y recuperará el certificado emitido. Si algunas propiedades de la solicitud no son válidas, CA las anulará con los valores correctos de la plantilla de certificado o Active Directory.

• inscripción automática de certificado

es una característica excelente de Enterprise CA. La inscripción automática permite inscribir automáticamente certificados para plantillas configuradas. No se requiere interacción del usuario, todo sucede automáticamente (por supuesto, la inscripción automática requiere una configuración inicial).

• Archivo clave

Los administradores de sistemas subestiman esta característica, pero es extremadamente valiosa como fuente de respaldo para los certificados de cifrado de los usuarios. Si se pierde la clave privada, se puede recuperar de la base de datos de la CA si es necesario. De lo contrario, perderá el acceso a su contenido cifrado.

CA independiente

Este tipo de CA no puede utilizar funciones proporcionadas por las CA empresariales. Eso es:

• Sin plantillas de certificado

esto significa que cada solicitud debe prepararse manualmente y debe incluir toda la información requerida para incluirse en el certificado. Dependiendo de la configuración de la plantilla de certificado, Enterprise CA puede requerir solo información clave; la CA recuperará automáticamente el resto de la información. La CA independiente no hará eso porque carece de una fuente de información. La solicitud debe estar literalmente completa.

• aprobación manual de solicitud de certificado

Dado que las CA independientes no utilizan plantillas de certificado, un administrador de CA debe verificar manualmente cada solicitud para garantizar que no contenga información peligrosa.

• sin inscripción automática, sin archivo de claves

Dado que las CA independientes no requieren Active Directory, estas funciones están deshabilitadas para este tipo de CA.

Resumen

Aunque pueda parecer que la CA independiente es un callejón sin salida, no lo es. Las CA empresariales son las más adecuadas para emitir certificados a entidades finales (usuarios, dispositivos) y están diseñadas para escenarios de "gran volumen y bajo costo".

Por otro lado, las CA independientes son más adecuadas para escenarios de "bajo volumen y alto costo", incluidos los fuera de línea. Generalmente, las CA independientes se utilizan para actuar como CA raíz y de política y emiten certificados solo para otras CA. Dado que la actividad de los certificados es bastante baja, puede mantener la CA independiente fuera de línea durante un tiempo razonablemente largo (de 6 a 12 meses) y activarla solo para emitir una nueva CRL o firmar un nuevo certificado de CA subordinada. Al mantenerlo fuera de línea, mejora la seguridad de sus claves. Las mejores prácticas sugieren nunca conectar CA independientes a ninguna red y proporcionar una buena seguridad física.

Al implementar PKI en toda la empresa, debe centrarse en un enfoque de PKI de 2 niveles con una CA raíz independiente fuera de línea y una CA subordinada empresarial en línea que operará en su Active Directory.

Obviamente, la integración de AD, como ya mencionaste, es importante. Puedes encontrar una breve comparativa.aquí. El autor resume las diferencias de la siguiente manera:

Las computadoras de un dominio confían automáticamente en los certificados que emiten las CA empresariales. Con las CA independientes, debe utilizar la Política de grupo para agregar el certificado autofirmado de la CA al almacén de CA raíz de confianza en cada computadora del dominio. Las CA empresariales también le permiten automatizar el proceso de solicitud e instalación de certificados para computadoras, y si tiene una CA empresarial ejecutándose en un servidor Windows Server 2003 Enterprise Edition, incluso puede automatizar la inscripción de certificados para los usuarios con la función de inscripción automática.

Enterprise CA proporciona utilidad a las empresas (pero requiere acceso a los servicios de dominio de Active Directory):

• Utiliza la política de grupo para propagar su certificado al almacén de certificados de las autoridades de certificación raíz de confianza para todos los usuarios y computadoras del dominio.
• Publica certificados de usuario y listas de revocación de certificados (CRL) en AD DS. Para publicar certificados en AD DS, el servidor en el que está instalada la CA debe ser miembro del grupo de publicadores de certificados. Esto es automático para el dominio en el que se encuentra el servidor, pero se deben delegar al servidor los permisos de seguridad adecuados para publicar certificados en otros dominios.
• Las CA empresariales imponen comprobaciones de credenciales a los usuarios durante la inscripción de certificados. Cada plantilla de certificado tiene un permiso de seguridad establecido en AD DS que determina si el solicitante del certificado está autorizado para recibir el tipo de certificado que ha solicitado.

• El nombre del sujeto del certificado puede generarse automáticamente a partir de la información de AD DS o ser proporcionado explícitamente por el solicitante.

  Más información sobreSer únicoyEmpresaADCS CA.