Diferença entre a CA autônoma do Microsoft ADCS e a CA corporativa

Question 1

Há uma diferença significativa entre CAs autônomas e corporativas e cada uma tem seu cenário de uso.

CAs empresariais

Este tipo de CAs oferece os seguintes recursos:

forte integração com o Active Directory

Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.

modelos de certificado

Os modelos de certificado permitem que as empresas padronizem os certificados emitidos de acordo com seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com configurações apropriadas) e os enviam à CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI preparará automaticamente a solicitação de certificado correta, enviá-la-á à CA e recuperará o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá pelos valores corretos do modelo de certificado ou do Active Directory.

registro automático de certificado

é um recurso matador do Enterprise CA. O registro automático permite registrar certificados automaticamente para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (é claro, o registro automático requer configuração inicial).

Arquivo de chaves

esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como fonte de backup para certificados de criptografia de usuários. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá o acesso ao seu conteúdo criptografado.

CA autônoma

Este tipo de CA não pode utilizar recursos fornecidos por CAs empresariais. Aquilo é:

Nenhum modelo de certificado

isso significa que cada solicitação deve ser preparada manualmente e deve incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes; o restante das informações será recuperado automaticamente pela CA. A CA autônoma não fará isso porque não possui fonte de informações. A solicitação deve estar literalmente completa.

aprovação manual de solicitação de certificado

Como a CA autônoma não usa modelos de certificado, cada solicitação deve ser verificada manualmente por um gerente de CA para garantir que a solicitação não contenha informações perigosas.

sem registro automático, sem arquivamento de chaves

Como a CA autônoma não requer o Active Directory, esses recursos estão desabilitados para esse tipo de CA.

Resumo

Embora possa parecer que a CA autônoma seja um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e são projetadas para cenários de “alto volume e baixo custo”.

Por outro lado, as ACs autônomas são mais adequadas para cenários de “baixo volume e alto custo”, inclusive off-line. Geralmente, CAs autônomas são usadas para atuar como CA raiz e de política e emitem certificados apenas para outras CAs. Como a atividade do certificado é bastante baixa, você pode manter a CA autônoma off-line por um período razoável (6 a 12 meses) e ativá-la apenas para emitir uma nova CRL ou assinar um novo certificado de CA subordinada. Ao mantê-lo offline, você aumenta a segurança de sua chave. As práticas recomendadas sugerem nunca anexar CAs independentes a qualquer rede e fornecer boa segurança física.

Ao implementar a PKI em toda a empresa, você deve se concentrar em uma abordagem de PKI de duas camadas com CA raiz autônoma off-line e CA subordinada corporativa on-line que operará em seu Active Directory.

Answer

Há uma diferença significativa entre CAs autônomas e corporativas e cada uma tem seu cenário de uso.

CAs empresariais

Este tipo de CAs oferece os seguintes recursos:

forte integração com o Active Directory

Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.

modelos de certificado

Os modelos de certificado permitem que as empresas padronizem os certificados emitidos de acordo com seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com configurações apropriadas) e os enviam à CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI preparará automaticamente a solicitação de certificado correta, enviá-la-á à CA e recuperará o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá pelos valores corretos do modelo de certificado ou do Active Directory.

registro automático de certificado

é um recurso matador do Enterprise CA. O registro automático permite registrar certificados automaticamente para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (é claro, o registro automático requer configuração inicial).

Arquivo de chaves

esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como fonte de backup para certificados de criptografia de usuários. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá o acesso ao seu conteúdo criptografado.

CA autônoma

Este tipo de CA não pode utilizar recursos fornecidos por CAs empresariais. Aquilo é:

Nenhum modelo de certificado

isso significa que cada solicitação deve ser preparada manualmente e deve incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes; o restante das informações será recuperado automaticamente pela CA. A CA autônoma não fará isso porque não possui fonte de informações. A solicitação deve estar literalmente completa.

aprovação manual de solicitação de certificado

Como a CA autônoma não usa modelos de certificado, cada solicitação deve ser verificada manualmente por um gerente de CA para garantir que a solicitação não contenha informações perigosas.

sem registro automático, sem arquivamento de chaves

Como a CA autônoma não requer o Active Directory, esses recursos estão desabilitados para esse tipo de CA.

Resumo

Embora possa parecer que a CA autônoma seja um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e são projetadas para cenários de “alto volume e baixo custo”.

Por outro lado, as ACs autônomas são mais adequadas para cenários de “baixo volume e alto custo”, inclusive off-line. Geralmente, CAs autônomas são usadas para atuar como CA raiz e de política e emitem certificados apenas para outras CAs. Como a atividade do certificado é bastante baixa, você pode manter a CA autônoma off-line por um período razoável (6 a 12 meses) e ativá-la apenas para emitir uma nova CRL ou assinar um novo certificado de CA subordinada. Ao mantê-lo offline, você aumenta a segurança de sua chave. As práticas recomendadas sugerem nunca anexar CAs independentes a qualquer rede e fornecer boa segurança física.

Ao implementar a PKI em toda a empresa, você deve se concentrar em uma abordagem de PKI de duas camadas com CA raiz autônoma off-line e CA subordinada corporativa on-line que operará em seu Active Directory.

Question 2

Obviamente, a integração do AD, como você já mencionou, é importante. Você pode encontrar uma breve comparaçãoaqui. O autor resume as diferenças da seguinte forma:

Os computadores em um domínio confiam automaticamente nos certificados emitidos pelas CAs corporativas. Com CAs autônomas, você deve usar a Política de Grupo para adicionar o certificado autoassinado da CA ao armazenamento de CAs raiz confiáveis em cada computador do domínio. As CAs corporativas também permitem automatizar o processo de solicitação e instalação de certificados para computadores e, se você tiver uma CA corporativa em execução em um servidor Windows Server 2003 Enterprise Edition, poderá até automatizar o registro de certificados para usuários com o recurso de registro automático.

Answer

Obviamente, a integração do AD, como você já mencionou, é importante. Você pode encontrar uma breve comparaçãoaqui. O autor resume as diferenças da seguinte forma:

Os computadores em um domínio confiam automaticamente nos certificados emitidos pelas CAs corporativas. Com CAs autônomas, você deve usar a Política de Grupo para adicionar o certificado autoassinado da CA ao armazenamento de CAs raiz confiáveis em cada computador do domínio. As CAs corporativas também permitem automatizar o processo de solicitação e instalação de certificados para computadores e, se você tiver uma CA corporativa em execução em um servidor Windows Server 2003 Enterprise Edition, poderá até automatizar o registro de certificados para usuários com o recurso de registro automático.

Question 3

Enterprise CA fornece utilidade para empresas (mas requer acesso aos Serviços de Domínio Active Directory):

Usa a Política de Grupo para propagar seu certificado para o armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis para todos os usuários e computadores no domínio.
Publica certificados de usuário e listas de certificados revogados (CRLs) no AD DS. Para publicar certificados no AD DS, o servidor no qual a CA está instalada deve ser membro do grupo Editores de Certificados. Isso é automático para o domínio em que o servidor está, mas o servidor deve receber as permissões de segurança adequadas para publicar certificados em outros domínios.
As CAs corporativas impõem verificações de credenciais aos usuários durante a inscrição do certificado. Cada modelo de certificado tem uma permissão de segurança definida no AD DS que determina se o solicitante do certificado está autorizado a receber o tipo de certificado solicitado.
O nome da entidade do certificado pode ser gerado automaticamente a partir das informações no AD DS ou fornecido explicitamente pelo solicitante.

Mais informações sobreEstar sozinhoeEmpreendimentoADCS CA.

Answer

Enterprise CA fornece utilidade para empresas (mas requer acesso aos Serviços de Domínio Active Directory):

Usa a Política de Grupo para propagar seu certificado para o armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis para todos os usuários e computadores no domínio.
Publica certificados de usuário e listas de certificados revogados (CRLs) no AD DS. Para publicar certificados no AD DS, o servidor no qual a CA está instalada deve ser membro do grupo Editores de Certificados. Isso é automático para o domínio em que o servidor está, mas o servidor deve receber as permissões de segurança adequadas para publicar certificados em outros domínios.
As CAs corporativas impõem verificações de credenciais aos usuários durante a inscrição do certificado. Cada modelo de certificado tem uma permissão de segurança definida no AD DS que determina se o solicitante do certificado está autorizado a receber o tipo de certificado solicitado.
O nome da entidade do certificado pode ser gerado automaticamente a partir das informações no AD DS ou fornecido explicitamente pelo solicitante.

Mais informações sobreEstar sozinhoeEmpreendimentoADCS CA.

Diferença entre a CA autônoma do Microsoft ADCS e a CA corporativa

Responder1

CAs empresariais

CA autônoma

Resumo

Responder2

Responder3

informação relacionada