這是一個規範問題關於不同類型的 Microsoft 憑證授權單位
我正在尋找有關 Microsoft ADCS Enterprise CA 和獨立 CA 之間差異的資訊?
我應該何時何地使用每種 CA 類型?我嘗試用 google 搜尋這個問題,只找到一個答案,即獨立 CA 不享受 Active Directory。在選擇之前我應該考慮什麼?
答案1
獨立CA和企業CA之間存在顯著差異,且各自有其使用情境。
企業CA
此類 CA 具有以下功能:
- 與 Active Directory 緊密整合
當您在 AD 林中安裝企業 CA 時,它會自動發佈到 AD,並且每個 AD 林成員都可以立即與 CA 通訊以請求憑證。
- 證書模板
證書範本可讓企業根據用途或其他方式將頒發的證書標準化。管理員配置所需的憑證範本(具有適當的設定)並將其交給 CA 進行頒發。相容的接收者不必費心手動產生請求,CryptoAPI 平台將自動準備正確的憑證請求,將其提交給 CA 並檢索頒發的憑證。如果某些請求屬性無效,CA 將使用憑證範本或 Active Directory 中的正確值覆寫它們。
- 證書自動註冊
是企業 CA 的殺手級功能。自動註冊允許自動註冊已配置範本的憑證。不需要用戶交互,一切都會自動發生(當然,自動註冊需要初始配置)。
- 關鍵檔案
此功能被系統管理員低估,但作為使用者加密憑證的備份來源非常有價值。如果私鑰遺失,必要時可以從CA資料庫中復原。否則,您將無法存取加密內容。
獨立CA
這種類型的 CA 無法利用企業 CA 提供的功能。那是:
- 沒有證書模板
這意味著每個請求都必須手動準備,並且必須包含證書中所需的所有資訊。根據憑證範本設置,企業 CA 可能只需要關鍵訊息,其餘資訊將由 CA 自動檢索。獨立CA不會這樣做,因為它缺乏資訊來源。該請求必須完全完整。
- 手動證書請求批准
由於獨立 CA 不使用憑證模板,因此每個要求都必須由 CA 管理員手動驗證,以確保請求不包含危險資訊。
- 沒有自動註冊,沒有密鑰存檔
由於獨立 CA 不需要 Active Directory,因此此類 CA 會停用這些功能。
概括
儘管獨立 CA 看起來可能是一條死胡同,但事實並非如此。企業 CA 最適合向最終實體(使用者、裝置)頒發證書,並且專為「高容量、低成本」場景而設計。
另一方面,獨立CA最適合「小批量、高成本」的場景,包括離線場景。通常,獨立 CA 用作根 CA 和策略 CA,並且它們僅向其他 CA 頒發憑證。由於憑證活動相當低,您可以將獨立 CA 保持離線一段合理的時間(6-12 個月),然後僅在頒發新的 CRL 或簽署新的從屬 CA 憑證時才開啟。透過使其保持離線狀態,您可以增強其金鑰的安全性。最佳實踐建議永遠不要將獨立 CA 連接到任何網路並提供良好的實體安全性。
在實施企業範圍的 PKI 時,您應該專注於 2 層 PKI 方法,其中包含將在 Active Directory 中執行的離線獨立根 CA 和線上企業從屬 CA。
答案2
顯然,正如您已經提到的,AD 整合是一項重要的工作。你可以找到一個簡短的比較這裡。作者將差異總結如下:
網域中的電腦自動信任企業 CA 所發出的憑證。對於獨立 CA,您必須使用群組原則將 CA 的自簽章憑證新增至網域中每台電腦上的受信任根 CA 儲存體。企業 CA 還允許您自動執行電腦請求和安裝憑證的過程,如果您有在 Windows Server 2003 Enterprise Edition 伺服器上執行的企業 CA,您甚至可以使用自動註冊功能自動為使用者註冊憑證。
答案3
企業 CA 為企業提供實用性(但需要存取 Active Directory 網域服務):