Разница между автономным ЦС Microsoft ADCS и корпоративным ЦС

Это канонический вопрос о различных типах центра сертификации Microsoft.

Я ищу информацию о разнице между Microsoft ADCS Enterprise CA и Автономным CA?

Когда и где я должен использовать каждый тип CA? Я попытался погуглить этот вопрос и нашел только один ответ, что Автономный ЦС не пользуется Active Directory. Что я должен принять во внимание, прежде чем выбрать один?

Существует значительная разница между автономными и корпоративными ЦС, и у каждого есть свой сценарий использования.

ЦС предприятия

Этот тип CA предлагает следующие функции:

• тесная интеграция с Active Directory

Когда вы устанавливаете Enterprise CA в лесу AD, он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с CA для запроса сертификатов.

• шаблоны сертификатов

Шаблоны сертификатов позволяют предприятиям стандартизировать выданные сертификаты по их использованию или как угодно. Администраторы настраивают необходимые шаблоны сертификатов (с соответствующими настройками) и помещают их в ЦС для выдачи. Совместимые получатели не должны беспокоиться о создании запроса вручную, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в CA и получит выданный сертификат. Если некоторые свойства запроса недействительны, CA переопределит их с правильными значениями из шаблона сертификата или Active Directory.

• автоматическая регистрация сертификатов

является убийственной особенностью Enterprise CA. Авторегистрация позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Взаимодействие с пользователем не требуется, все происходит автоматически (конечно, для автоматической регистрации требуется начальная настройка).

• Архив ключей

эта функция недооценивается системными администраторами, но чрезвычайно ценна в качестве источника резервной копии пользовательских сертификатов шифрования. Если закрытый ключ утерян, его можно восстановить из базы данных CA, если это необходимо. В противном случае вы потеряете доступ к вашему зашифрованному контенту.

Автономный CA

Этот тип CA не может использовать функции, предоставляемые корпоративными CA. Это:

• Нет шаблонов сертификатов

это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию для включения в сертификат. В зависимости от настроек шаблона сертификата Enterprise CA может потребоваться только ключевая информация, остальная информация будет автоматически получена CA. Автономный ЦС этого не сделает, потому что ему не хватает источника информации. Запрос должен быть буквально завершен.

• ручное подтверждение запроса сертификата

Поскольку автономный ЦС не использует шаблоны сертификатов, каждый запрос должен быть проверен менеджером ЦС вручную, чтобы убедиться, что запрос не содержит опасной информации.

• нет авторегистрации, нет архива ключей

Поскольку для автономного ЦС не требуется Active Directory, эти функции отключены для этого типа ЦС.

Резюме

Хотя может показаться, что автономный CA - это тупик, это не так. Корпоративные ЦС лучше всего подходят для выдачи сертификатов конечным объектам (пользователям, устройствам) и предназначены для сценариев «большого объема и низкой стоимости».

С другой стороны, автономные центры сертификации лучше всего подходят для scnearios «с небольшим объемом и высокой стоимостью», включая автономные. Обычно автономные ЦС используются в качестве корневых и политик ЦС и выдают сертификаты только другим ЦС. Поскольку активность сертификатов довольно низкая, вы можете держать автономный ЦС в автономном режиме в течение достаточно длительного времени (6–12 месяцев) и включать его только для выдачи нового CRL или подписания нового сертификата подчиненного ЦС. Поддерживая его в автономном режиме, вы повышаете его ключевую безопасность. Лучшие практики предлагают никогда не подключать автономные ЦС к какой-либо сети и обеспечивают хорошую физическую безопасность.

При реализации PKI в масштабах всего предприятия вы должны сосредоточиться на двухуровневом подходе PKI с автономным корневым центром сертификации и интерактивным подчиненным центром сертификации, который будет работать в вашей Active Directory.

Очевидно, что интеграция с AD, как вы уже упоминали, является большой. Вы можете найти краткое сравнение здесь . Автор суммирует различия следующим образом:

Компьютеры в домене автоматически доверяют сертификатам, которые выдают ЦС предприятия. В случае автономных ЦС необходимо использовать групповую политику, чтобы добавить самозаверяющий сертификат ЦС в хранилище доверенных корневых ЦС на каждом компьютере в домене. Корпоративные ЦС также позволяют автоматизировать процесс запроса и установки сертификатов для компьютеров, а если у вас есть ЦС предприятия, работающий на сервере Windows Server 2003 Enterprise Edition, вы даже можете автоматизировать регистрацию сертификатов для пользователей с помощью функции автоматической регистрации.

Корпоративный CA обеспечивает полезность для предприятий (но требует доступа к доменным службам Active Directory):

• Использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.
• Публикует пользовательские сертификаты и списки отзыва сертификатов (CRL) в AD DS. Чтобы публиковать сертификаты в AD DS, сервер, на котором установлен ЦС, должен быть членом группы «Издатели сертификатов». Это автоматически для домена, в котором находится сервер, но серверу должны быть делегированы надлежащие разрешения безопасности для публикации сертификатов в других доменах.
• Корпоративные центры сертификации проводят проверку учетных данных пользователей во время регистрации сертификатов. Каждый шаблон сертификата имеет набор разрешений безопасности в AD DS, который определяет, авторизован ли запрашивающий сертификат тип запрашиваемого сертификата.

• Имя субъекта сертификата может быть сгенерировано автоматически из информации в AD DS или предоставлено запрашивающей стороной в явном виде.

  Подробнее о автономных и корпоративных ADCS CA.