Существует значительная разница между автономными и корпоративными ЦС, и у каждого есть свой сценарий использования.
ЦС предприятия
Этот тип CA предлагает следующие функции:
- тесная интеграция с Active Directory
Когда вы устанавливаете Enterprise CA в лесу AD, он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с CA для запроса сертификатов.
Шаблоны сертификатов позволяют предприятиям стандартизировать выданные сертификаты по их использованию или как угодно. Администраторы настраивают необходимые шаблоны сертификатов (с соответствующими настройками) и помещают их в ЦС для выдачи. Совместимые получатели не должны беспокоиться о создании запроса вручную, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в CA и получит выданный сертификат. Если некоторые свойства запроса недействительны, CA переопределит их с правильными значениями из шаблона сертификата или Active Directory.
- автоматическая регистрация сертификатов
является убийственной особенностью Enterprise CA. Авторегистрация позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Взаимодействие с пользователем не требуется, все происходит автоматически (конечно, для автоматической регистрации требуется начальная настройка).
эта функция недооценивается системными администраторами, но чрезвычайно ценна в качестве источника резервной копии пользовательских сертификатов шифрования. Если закрытый ключ утерян, его можно восстановить из базы данных CA, если это необходимо. В противном случае вы потеряете доступ к вашему зашифрованному контенту.
Автономный CA
Этот тип CA не может использовать функции, предоставляемые корпоративными CA. Это:
- Нет шаблонов сертификатов
это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию для включения в сертификат. В зависимости от настроек шаблона сертификата Enterprise CA может потребоваться только ключевая информация, остальная информация будет автоматически получена CA. Автономный ЦС этого не сделает, потому что ему не хватает источника информации. Запрос должен быть буквально завершен.
- ручное подтверждение запроса сертификата
Поскольку автономный ЦС не использует шаблоны сертификатов, каждый запрос должен быть проверен менеджером ЦС вручную, чтобы убедиться, что запрос не содержит опасной информации.
- нет авторегистрации, нет архива ключей
Поскольку для автономного ЦС не требуется Active Directory, эти функции отключены для этого типа ЦС.
Резюме
Хотя может показаться, что автономный CA - это тупик, это не так. Корпоративные ЦС лучше всего подходят для выдачи сертификатов конечным объектам (пользователям, устройствам) и предназначены для сценариев «большого объема и низкой стоимости».
С другой стороны, автономные центры сертификации лучше всего подходят для scnearios «с небольшим объемом и высокой стоимостью», включая автономные. Обычно автономные ЦС используются в качестве корневых и политик ЦС и выдают сертификаты только другим ЦС. Поскольку активность сертификатов довольно низкая, вы можете держать автономный ЦС в автономном режиме в течение достаточно длительного времени (6–12 месяцев) и включать его только для выдачи нового CRL или подписания нового сертификата подчиненного ЦС. Поддерживая его в автономном режиме, вы повышаете его ключевую безопасность. Лучшие практики предлагают никогда не подключать автономные ЦС к какой-либо сети и обеспечивают хорошую физическую безопасность.
При реализации PKI в масштабах всего предприятия вы должны сосредоточиться на двухуровневом подходе PKI с автономным корневым центром сертификации и интерактивным подчиненным центром сертификации, который будет работать в вашей Active Directory.