Разница между автономным ЦС Microsoft ADCS и ЦС предприятия

Корпоративный ЦС полезен для предприятий (но требует доступа к доменным службам Active Directory):

• Использует групповую политику для распространения своего сертификата на доверенный корень Хранилище сертификатов центров сертификации для всех пользователей и компьютеры в домене.
• Публикует пользовательские сертификаты и списки отзыва сертификатов (CRL) в AD DS. Чтобы опубликовать сертификаты в AD DS, сервер, который ЦС установлен, должен быть членом издателей сертификатов группа. Это происходит автоматически для домена, в котором находится сервер, но серверу должны быть делегированы соответствующие разрешения безопасности для публикации сертификаты в других доменах.
• Центры сертификации предприятий принудительно проверяют учетные данные пользователей во время сертификата зачисление. Каждый шаблон сертификата имеет набор разрешений безопасности. в AD DS, который определяет, является ли запрашивающая сертификат разрешено получать запрошенный тип сертификата.

• Имя субъекта сертификата может быть сгенерировано автоматически из информация в AD DS или явно предоставлена ​​запрашивающей стороной.

  Дополнительная информация об Автономном и Enterprise ADCS CA.

Очевидно, что интеграция AD, как вы уже упомянули, является большой. Вы можете найти краткое сравнение здесь . Автор резюмирует различия следующим образом:

Компьютеры в домене автоматически доверяют сертификатам этого предприятия. Проблема с центрами сертификации. С автономными центрами сертификации вы должны использовать групповую политику для добавления Самозаверяющий сертификат ЦС в хранилище доверенных корневых ЦС на каждом комп в домене. Корпоративные ЦС также позволяют автоматизировать процесс запроса и установки сертификатов для компьютеров, и если у вас есть корпоративный ЦС, работающий на Windows Server 2003 Сервер Enterprise Edition, вы даже можете автоматизировать сертификат регистрация для пользователей с функцией автоматической регистрации.

Между автономными и корпоративными центрами сертификации существует значительная разница, и каждый из них имеет свой сценарий использования.

Корпоративные центры сертификации

Этот тип центров сертификации предлагает следующие функции:

• тесная интеграция с Active Directory

Когда вы устанавливаете Enterprise CA в лесу AD, он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с CA для запроса сертификатов.

• шаблоны сертификатов

Шаблоны сертификатов позволяют предприятиям стандартизировать выданные сертификаты по их использованию или чему-то еще. Администраторы настраивают необходимые шаблоны сертификатов (с соответствующими настройками) и передают их в ЦС для выдачи. Совместимым получателям не нужно беспокоиться о создании запроса вручную, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в ЦС и получит выпущенный сертификат. Если некоторые свойства запроса недействительны, CA заменит их правильными значениями из шаблона сертификата или Active Directory.

• автоматическая подача заявок на сертификат

- смертоносная функция Enterprise CA. Автоматическая подача заявок позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Никакого взаимодействия с пользователем не требуется, все происходит автоматически (разумеется, для автоматической регистрации требуется начальная настройка).

• Архивирование ключей

Эта функция недооценена системными администраторами, но чрезвычайно ценно в качестве резервного источника для сертификатов шифрования пользователей. Если закрытый ключ утерян, при необходимости его можно восстановить из базы данных ЦС. В противном случае вы потеряете доступ к своему зашифрованному содержимому.

Автономный ЦС

Этот тип ЦС не может использовать функции, предоставляемые ЦС предприятия. То есть:

• Нет шаблонов сертификатов

это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию, которая должна быть включена в сертификат. В зависимости от настроек шаблона сертификата, Enterprise CA может потребоваться только ключевая информация, остальная информация будет автоматически получена CA. Автономный ЦС этого не сделает, потому что у него нет источника информации. Запрос должен быть буквально завершен.

• утверждение запроса сертификата вручную

Поскольку автономный центр сертификации не использует шаблоны сертификатов,каждый запрос должен быть вручную проверен менеджером центра сертификации, чтобы убедиться, что запрос не содержит опасной информации.

• без автоматической регистрации, без архивирования ключей

Поскольку для автономного центра сертификации не требуется Active Directory, эти функции отключены для этого типа центров сертификации. .

Резюме

Хотя может показаться, что автономный центр сертификации - это тупик, на самом деле это не так. Корпоративные ЦС лучше всего подходят для выдачи сертификатов конечным объектам (пользователям, устройствам) и предназначены для сценариев «большого объема, низкой стоимости».

С другой стороны, автономные ЦС лучше всего подходят для «небольшого объема, высокой стоимости» scnearios, в том числе офлайн. Обычно автономные центры сертификации используются в качестве корневого центра сертификации и центра сертификации политики и выдают сертификаты только другим центрам сертификации. Поскольку активность сертификатов довольно низкая, вы можете оставить автономный ЦС отключенным в течение разумно длительного времени (6–12 месяцев) и включить его только для выдачи нового CRL или подписания нового сертификата подчиненного ЦС. Сохраняя его в автономном режиме, вы повышаете его ключевую безопасность. Передовой опыт рекомендует никогда не присоединять автономные центры сертификации к какой-либо сети и обеспечивать хорошую физическую безопасность.

При реализации PKI в масштабе предприятия следует сосредоточиться на двухуровневом подходе PKI с автономным автономным корневым центром сертификации и оперативным подчиненным центром сертификации предприятия, который будет работать. в вашей Active Directory.