Разница между автономным центром сертификации Microsoft ADCS и корпоративным центром сертификации

Между автономными и корпоративными центрами сертификации существует значительная разница, и у каждого из них есть свой сценарий использования.

Корпоративные центры сертификации

Этот тип центров сертификации предлагает следующие возможности:

• тесная интеграция с Active Directory

При установке Enterprise CA в лесу AD он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с CA для запроса сертификатов.

• шаблоны сертификатов

Шаблоны сертификатов позволяют предприятиям стандартизировать выпущенные сертификаты по их использованию или чему-либо еще. Администраторы настраивают требуемые шаблоны сертификатов (с соответствующими настройками) и отправляют их в CA для выпуска. Совместимым получателям не нужно беспокоиться о ручной генерации запроса, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в CA и извлечет выпущенный сертификат. Если некоторые свойства запроса недействительны, CA перезапишет их правильными значениями из шаблона сертификата или Active Directory.

• автоматическая регистрация сертификата

это убийственная функция Enterprise CA. Автоматическая регистрация позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Никакого взаимодействия с пользователем не требуется, все происходит автоматически (конечно, автоматическая регистрация требует первоначальной настройки).

• Архивный ключ

Эта функция недооценена системными администраторами, но она чрезвычайно ценна как резервный источник для сертификатов шифрования пользователя. Если закрытый ключ утерян, его можно восстановить из базы данных CA, если это необходимо. В противном случае вы потеряете доступ к зашифрованному контенту.

Автономный центр сертификации

Этот тип CA не может использовать функции, предоставляемые Enterprise CA. А именно:

• Нет шаблонов сертификатов

это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию для включения в сертификат. В зависимости от настроек шаблона сертификата, Enterprise CA может потребовать только ключевую информацию, остальная информация будет автоматически извлечена CA. Standalone CA не будет этого делать, поскольку у него отсутствует источник информации. Запрос должен быть буквально полным.

• ручное утверждение запроса на сертификат

Поскольку автономные центры сертификации не используют шаблоны сертификатов, каждый запрос должен быть вручную проверен менеджером центра сертификации, чтобы убедиться, что запрос не содержит опасной информации.

• нет автоматической регистрации, нет архивации ключей

Поскольку автономным центрам сертификации не требуется Active Directory, эти функции отключены для этого типа центров сертификации.

Краткое содержание

Хотя может показаться, что Standalone CA — это тупик, это не так. Enterprise CA лучше всего подходят для выдачи сертификатов конечным субъектам (пользователям, устройствам) и предназначены для сценариев «большой объем, низкая стоимость».

С другой стороны, автономные CA лучше всего подходят для сценариев «малый объем, высокая стоимость», включая автономные. Обычно автономные CA используются для работы в качестве корневого и политического CA, и они выдают сертификаты только другим CA. Поскольку активность сертификатов довольно низкая, вы можете держать автономный CA в автономном режиме в течение достаточно длительного времени (6-12 месяцев) и включать его только для выпуска нового CRL или подписания нового подчиненного сертификата CA. Оставляя его в автономном режиме, вы повышаете его ключевую безопасность. Лучшие практики предлагают никогда не подключать автономные CA к какой-либо сети и обеспечивать хорошую физическую безопасность.

При внедрении PKI в масштабах предприятия следует сосредоточиться на двухуровневом подходе PKI с автономным автономным корневым центром сертификации и онлайн-подчиненным центром сертификации предприятия, который будет работать в вашем Active Directory.

Очевидно, что интеграция AD, как вы уже упомянули, является большой. Вы можете найти краткое сравнениездесь. Автор резюмирует различия следующим образом:

Компьютеры в домене автоматически доверяют сертификатам, выдаваемым корпоративными центрами сертификации. При использовании автономных центров сертификации необходимо использовать групповую политику для добавления самоподписанного сертификата центра сертификации в хранилище доверенных корневых центров сертификации на каждом компьютере в домене. Корпоративные центры сертификации также позволяют автоматизировать процесс запроса и установки сертификатов для компьютеров, а если у вас есть корпоративный центр сертификации, работающий на сервере Windows Server 2003 Enterprise Edition, вы даже можете автоматизировать регистрацию сертификатов для пользователей с помощью функции автоматической регистрации.

Enterprise CA полезен для предприятий (но требует доступа к доменным службам Active Directory):

• Использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.
• Публикует сертификаты пользователей и списки отзыва сертификатов (CRL) в AD DS. Для публикации сертификатов в AD DS сервер, на котором установлен CA, должен быть членом группы Certificate Publishers. Это происходит автоматически для домена, в котором находится сервер, но серверу должны быть делегированы соответствующие разрешения безопасности для публикации сертификатов в других доменах.
• Центры сертификации предприятий применяют проверки учетных данных пользователей во время регистрации сертификатов. Каждый шаблон сертификата имеет набор разрешений безопасности в AD DS, который определяет, авторизован ли запрашивающий сертификат для получения запрошенного им типа сертификата.

• Имя субъекта сертификата может быть сгенерировано автоматически на основе информации в AD DS или предоставлено явно запрашивающей стороной.

  Дополнительная информация оАвтономныйиПредприятиеADCS-CA.