Microsoft ADCS 독립 실행형 CA와 엔터프라이즈 CA의 차이점

Question 1

독립 실행형 CA와 엔터프라이즈 CA 간에는 상당한 차이가 있으며 각각 고유한 사용 시나리오가 있습니다.

엔터프라이즈 CA

이 유형의 CA는 다음 기능을 제공합니다.

Active Directory와의 긴밀한 통합

AD 포리스트에 Enterprise CA를 설치하면 자동으로 AD에 게시되며 각 AD 포리스트 구성원은 즉시 CA와 통신하여 인증서를 요청할 수 있습니다.

인증서 템플릿

인증서 템플릿을 사용하면 기업은 발급된 인증서를 용도 등을 기준으로 표준화할 수 있습니다. 관리자는 필요한 인증서 템플릿(적절한 설정)을 구성하고 발급을 위해 CA에 넣습니다. 호환 가능한 수신자는 수동으로 요청을 생성할 필요가 없습니다. CryptoAPI 플랫폼은 자동으로 올바른 인증서 요청을 준비하여 CA에 제출하고 발급된 인증서를 검색합니다. 일부 요청 속성이 유효하지 않은 경우 CA는 인증서 템플릿 또는 Active Directory의 올바른 값으로 해당 속성을 재정의합니다.

인증서 자동 등록

Enterprise CA의 핵심 기능입니다. 자동 등록을 사용하면 구성된 템플릿에 대한 인증서를 자동으로 등록할 수 있습니다. 사용자 상호 작용이 필요하지 않으며 모든 작업이 자동으로 수행됩니다(물론 자동 등록에는 초기 구성이 필요함).

주요 보관

이 기능은 시스템 관리자에 의해 과소평가되지만 사용자 암호화 인증서의 백업 소스로서 매우 가치가 있습니다. 개인 키를 분실한 경우 필요한 경우 CA 데이터베이스에서 복구할 수 있습니다. 그렇지 않으면 암호화된 콘텐츠에 액세스할 수 없게 됩니다.

독립형 CA

이 유형의 CA는 엔터프라이즈 CA가 제공하는 기능을 활용할 수 없습니다. 그건:

인증서 템플릿 없음

이는 모든 요청을 수동으로 준비해야 하며 인증서에 포함되는 모든 필수 정보를 포함해야 함을 의미합니다. 인증서 템플릿 설정에 따라 Enterprise CA에는 주요 정보만 필요할 수 있으며 나머지 정보는 CA에서 자동으로 검색합니다. 독립형 CA는 정보 소스가 부족하기 때문에 그렇게 하지 않습니다. 요청은 문자 그대로 완료되어야 합니다.

수동 인증서 요청 승인

독립 실행형 CA는 인증서 템플릿을 사용하지 않으므로 요청에 위험한 정보가 포함되어 있지 않은지 확인하기 위해 CA 관리자가 모든 요청을 수동으로 확인해야 합니다.

자동 등록 없음, 키 보관 없음

독립 실행형 CA에는 Active Directory가 필요하지 않으므로 이러한 유형의 CA에서는 이러한 기능이 비활성화됩니다.

요약

독립 실행형 CA는 막다른 골목처럼 보일 수도 있지만 그렇지 않습니다. 엔터프라이즈 CA는 최종 엔터티(사용자, 장치)에 인증서를 발급하는 데 가장 적합하며 "대량, 저비용" 시나리오를 위해 설계되었습니다.

반면, 독립 실행형 CA는 오프라인 시나리오를 포함하여 "소량, 고비용" 시나리오에 가장 적합합니다. 일반적으로 독립형 CA는 루트 및 정책 CA 역할을 하는 데 사용되며 다른 CA에만 인증서를 발급합니다. 인증서 활동이 매우 낮으므로 적당한 기간(6~12개월) 동안 독립 실행형 CA를 오프라인으로 유지하고 새 CRL을 발급하거나 새 하위 CA 인증서에 서명할 때만 켤 수 있습니다. 오프라인으로 유지하면 주요 보안이 강화됩니다. 모범 사례에서는 독립 실행형 CA를 어떤 네트워크에도 연결하지 않고 우수한 물리적 보안을 제공하는 것을 제안합니다.

전사적 PKI를 구현할 때는 Active Directory에서 작동할 오프라인 독립 실행형 루트 CA와 온라인 엔터프라이즈 하위 CA를 사용하는 2계층 PKI 접근 방식에 중점을 두어야 합니다.

Answer

독립 실행형 CA와 엔터프라이즈 CA 간에는 상당한 차이가 있으며 각각 고유한 사용 시나리오가 있습니다.

엔터프라이즈 CA

이 유형의 CA는 다음 기능을 제공합니다.

Active Directory와의 긴밀한 통합

AD 포리스트에 Enterprise CA를 설치하면 자동으로 AD에 게시되며 각 AD 포리스트 구성원은 즉시 CA와 통신하여 인증서를 요청할 수 있습니다.

인증서 템플릿

인증서 템플릿을 사용하면 기업은 발급된 인증서를 용도 등을 기준으로 표준화할 수 있습니다. 관리자는 필요한 인증서 템플릿(적절한 설정)을 구성하고 발급을 위해 CA에 넣습니다. 호환 가능한 수신자는 수동으로 요청을 생성할 필요가 없습니다. CryptoAPI 플랫폼은 자동으로 올바른 인증서 요청을 준비하여 CA에 제출하고 발급된 인증서를 검색합니다. 일부 요청 속성이 유효하지 않은 경우 CA는 인증서 템플릿 또는 Active Directory의 올바른 값으로 해당 속성을 재정의합니다.

인증서 자동 등록

Enterprise CA의 핵심 기능입니다. 자동 등록을 사용하면 구성된 템플릿에 대한 인증서를 자동으로 등록할 수 있습니다. 사용자 상호 작용이 필요하지 않으며 모든 작업이 자동으로 수행됩니다(물론 자동 등록에는 초기 구성이 필요함).

주요 보관

이 기능은 시스템 관리자에 의해 과소평가되지만 사용자 암호화 인증서의 백업 소스로서 매우 가치가 있습니다. 개인 키를 분실한 경우 필요한 경우 CA 데이터베이스에서 복구할 수 있습니다. 그렇지 않으면 암호화된 콘텐츠에 액세스할 수 없게 됩니다.

독립형 CA

이 유형의 CA는 엔터프라이즈 CA가 제공하는 기능을 활용할 수 없습니다. 그건:

인증서 템플릿 없음

이는 모든 요청을 수동으로 준비해야 하며 인증서에 포함되는 모든 필수 정보를 포함해야 함을 의미합니다. 인증서 템플릿 설정에 따라 Enterprise CA에는 주요 정보만 필요할 수 있으며 나머지 정보는 CA에서 자동으로 검색합니다. 독립형 CA는 정보 소스가 부족하기 때문에 그렇게 하지 않습니다. 요청은 문자 그대로 완료되어야 합니다.

수동 인증서 요청 승인

독립 실행형 CA는 인증서 템플릿을 사용하지 않으므로 요청에 위험한 정보가 포함되어 있지 않은지 확인하기 위해 CA 관리자가 모든 요청을 수동으로 확인해야 합니다.

자동 등록 없음, 키 보관 없음

독립 실행형 CA에는 Active Directory가 필요하지 않으므로 이러한 유형의 CA에서는 이러한 기능이 비활성화됩니다.

요약

독립 실행형 CA는 막다른 골목처럼 보일 수도 있지만 그렇지 않습니다. 엔터프라이즈 CA는 최종 엔터티(사용자, 장치)에 인증서를 발급하는 데 가장 적합하며 "대량, 저비용" 시나리오를 위해 설계되었습니다.

반면, 독립 실행형 CA는 오프라인 시나리오를 포함하여 "소량, 고비용" 시나리오에 가장 적합합니다. 일반적으로 독립형 CA는 루트 및 정책 CA 역할을 하는 데 사용되며 다른 CA에만 인증서를 발급합니다. 인증서 활동이 매우 낮으므로 적당한 기간(6~12개월) 동안 독립 실행형 CA를 오프라인으로 유지하고 새 CRL을 발급하거나 새 하위 CA 인증서에 서명할 때만 켤 수 있습니다. 오프라인으로 유지하면 주요 보안이 강화됩니다. 모범 사례에서는 독립 실행형 CA를 어떤 네트워크에도 연결하지 않고 우수한 물리적 보안을 제공하는 것을 제안합니다.

전사적 PKI를 구현할 때는 Active Directory에서 작동할 오프라인 독립 실행형 루트 CA와 온라인 엔터프라이즈 하위 CA를 사용하는 2계층 PKI 접근 방식에 중점을 두어야 합니다.

Question 2

분명히 당신이 이미 언급한 AD 통합은 큰 것입니다. 간략한 비교를 보실 수 있습니다여기. 저자는 차이점을 다음과 같이 요약합니다.

도메인의 컴퓨터는 엔터프라이즈 CA가 발급한 인증서를 자동으로 신뢰합니다. 독립 실행형 CA의 경우 그룹 정책을 사용하여 CA의 자체 서명 인증서를 도메인의 각 컴퓨터에 있는 신뢰할 수 있는 루트 CA 저장소에 추가해야 합니다. 또한 엔터프라이즈 CA를 사용하면 컴퓨터에 대한 인증서 요청 및 설치 프로세스를 자동화할 수 있으며, Windows Server 2003 Enterprise Edition 서버에서 실행 중인 엔터프라이즈 CA가 있는 경우 자동 등록 기능을 사용하여 사용자의 인증서 등록도 자동화할 수 있습니다.

Answer

분명히 당신이 이미 언급한 AD 통합은 큰 것입니다. 간략한 비교를 보실 수 있습니다여기. 저자는 차이점을 다음과 같이 요약합니다.

도메인의 컴퓨터는 엔터프라이즈 CA가 발급한 인증서를 자동으로 신뢰합니다. 독립 실행형 CA의 경우 그룹 정책을 사용하여 CA의 자체 서명 인증서를 도메인의 각 컴퓨터에 있는 신뢰할 수 있는 루트 CA 저장소에 추가해야 합니다. 또한 엔터프라이즈 CA를 사용하면 컴퓨터에 대한 인증서 요청 및 설치 프로세스를 자동화할 수 있으며, Windows Server 2003 Enterprise Edition 서버에서 실행 중인 엔터프라이즈 CA가 있는 경우 자동 등록 기능을 사용하여 사용자의 인증서 등록도 자동화할 수 있습니다.

Question 3

Enterprise CA는 기업에 유용성을 제공합니다(그러나 Active Directory 도메인 서비스에 대한 액세스가 필요함).

그룹 정책을 사용하여 해당 인증서를 도메인의 모든 사용자 및 컴퓨터에 대한 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 전파합니다.
사용자 인증서 및 CRL(인증서 해지 목록)을 AD DS에 게시합니다. AD DS에 인증서를 게시하려면 CA가 설치된 서버가 인증서 게시자 그룹의 구성원이어야 합니다. 이는 서버가 속한 도메인에 대해 자동으로 수행되지만 다른 도메인에 인증서를 게시하려면 서버에 적절한 보안 권한이 위임되어야 합니다.
엔터프라이즈 CA는 인증서 등록 중에 사용자에 대한 자격 증명 확인을 시행합니다. 각 인증서 템플릿에는 인증서 요청자가 요청한 인증서 유형을 받을 권한이 있는지 여부를 결정하는 보안 권한이 AD DS에 설정되어 있습니다.
인증서 주체 이름은 AD DS의 정보에서 자동으로 생성되거나 요청자가 명시적으로 제공할 수 있습니다.

에 대한 추가 정보독립형그리고기업ADCS 캘리포니아.

Answer

Enterprise CA는 기업에 유용성을 제공합니다(그러나 Active Directory 도메인 서비스에 대한 액세스가 필요함).

그룹 정책을 사용하여 해당 인증서를 도메인의 모든 사용자 및 컴퓨터에 대한 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 전파합니다.
사용자 인증서 및 CRL(인증서 해지 목록)을 AD DS에 게시합니다. AD DS에 인증서를 게시하려면 CA가 설치된 서버가 인증서 게시자 그룹의 구성원이어야 합니다. 이는 서버가 속한 도메인에 대해 자동으로 수행되지만 다른 도메인에 인증서를 게시하려면 서버에 적절한 보안 권한이 위임되어야 합니다.
엔터프라이즈 CA는 인증서 등록 중에 사용자에 대한 자격 증명 확인을 시행합니다. 각 인증서 템플릿에는 인증서 요청자가 요청한 인증서 유형을 받을 권한이 있는지 여부를 결정하는 보안 권한이 AD DS에 설정되어 있습니다.
인증서 주체 이름은 AD DS의 정보에서 자동으로 생성되거나 요청자가 명시적으로 제공할 수 있습니다.

에 대한 추가 정보독립형그리고기업ADCS 캘리포니아.

Microsoft ADCS 독립 실행형 CA와 엔터프라이즈 CA의 차이점

답변1

엔터프라이즈 CA

독립형 CA

요약

답변2

답변3

관련 정보