Это канонический вопрос о различных типах центров сертификации Microsoft
Я ищу информацию о различиях между Microsoft ADCS Enterprise CA и автономным CA?
Когда и где я должен использовать каждый тип CA? Я попытался погуглить этот вопрос и нашел только один ответ, что автономный центр сертификации не поддерживает Active Directory. Что мне следует учесть перед тем, как выбрать один?
Корпоративный ЦС полезен для предприятий (но требует доступа к доменным службам Active Directory):
Имя субъекта сертификата может быть сгенерировано автоматически из информация в AD DS или явно предоставлена запрашивающей стороной.
Дополнительная информация об Автономном и Enterprise ADCS CA.
Очевидно, что интеграция AD, как вы уже упомянули, является большой. Вы можете найти краткое сравнение здесь . Автор резюмирует различия следующим образом:
Компьютеры в домене автоматически доверяют сертификатам этого предприятия. Проблема с центрами сертификации. С автономными центрами сертификации вы должны использовать групповую политику для добавления Самозаверяющий сертификат ЦС в хранилище доверенных корневых ЦС на каждом комп в домене. Корпоративные ЦС также позволяют автоматизировать процесс запроса и установки сертификатов для компьютеров, и если у вас есть корпоративный ЦС, работающий на Windows Server 2003 Сервер Enterprise Edition, вы даже можете автоматизировать сертификат регистрация для пользователей с функцией автоматической регистрации.
Между автономными и корпоративными центрами сертификации существует значительная разница, и каждый из них имеет свой сценарий использования.
Этот тип центров сертификации предлагает следующие функции:
Когда вы устанавливаете Enterprise CA в лесу AD, он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с CA для запроса сертификатов.
Шаблоны сертификатов позволяют предприятиям стандартизировать выданные сертификаты по их использованию или чему-то еще. Администраторы настраивают необходимые шаблоны сертификатов (с соответствующими настройками) и передают их в ЦС для выдачи. Совместимым получателям не нужно беспокоиться о создании запроса вручную, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в ЦС и получит выпущенный сертификат. Если некоторые свойства запроса недействительны, CA заменит их правильными значениями из шаблона сертификата или Active Directory.
- смертоносная функция Enterprise CA. Автоматическая подача заявок позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Никакого взаимодействия с пользователем не требуется, все происходит автоматически (разумеется, для автоматической регистрации требуется начальная настройка).
Эта функция недооценена системными администраторами, но чрезвычайно ценно в качестве резервного источника для сертификатов шифрования пользователей. Если закрытый ключ утерян, при необходимости его можно восстановить из базы данных ЦС. В противном случае вы потеряете доступ к своему зашифрованному содержимому.
Этот тип ЦС не может использовать функции, предоставляемые ЦС предприятия. То есть:
это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию, которая должна быть включена в сертификат. В зависимости от настроек шаблона сертификата, Enterprise CA может потребоваться только ключевая информация, остальная информация будет автоматически получена CA. Автономный ЦС этого не сделает, потому что у него нет источника информации. Запрос должен быть буквально завершен.
Поскольку автономный центр сертификации не использует шаблоны сертификатов,каждый запрос должен быть вручную проверен менеджером центра сертификации, чтобы убедиться, что запрос не содержит опасной информации.
Поскольку для автономного центра сертификации не требуется Active Directory, эти функции отключены для этого типа центров сертификации. .
Хотя может показаться, что автономный центр сертификации - это тупик, на самом деле это не так. Корпоративные ЦС лучше всего подходят для выдачи сертификатов конечным объектам (пользователям, устройствам) и предназначены для сценариев «большого объема, низкой стоимости».
С другой стороны, автономные ЦС лучше всего подходят для «небольшого объема, высокой стоимости» scnearios, в том числе офлайн. Обычно автономные центры сертификации используются в качестве корневого центра сертификации и центра сертификации политики и выдают сертификаты только другим центрам сертификации. Поскольку активность сертификатов довольно низкая, вы можете оставить автономный ЦС отключенным в течение разумно длительного времени (6–12 месяцев) и включить его только для выдачи нового CRL или подписания нового сертификата подчиненного ЦС. Сохраняя его в автономном режиме, вы повышаете его ключевую безопасность. Передовой опыт рекомендует никогда не присоединять автономные центры сертификации к какой-либо сети и обеспечивать хорошую физическую безопасность.
При реализации PKI в масштабе предприятия следует сосредоточиться на двухуровневом подходе PKI с автономным автономным корневым центром сертификации и оперативным подчиненным центром сертификации предприятия, который будет работать. в вашей Active Directory.