Question Différence entre Microsoft ADCS Standalone CA et Enterprise CA


C'est un question canonique sur les différents types d'autorité de certification Microsoft

Je cherche des informations sur la différence entre Microsoft ADCS Enterprise CA et CA autonome?

Quand et où devrais-je utiliser chaque type de CA? J'ai essayé de google cette question et trouvé une seule réponse que CA autonome ne bénéficie pas d'Active Directory. Qu'est-ce que je devrais prendre en considération avant d'en choisir un?


8
2018-01-15 21:32


origine




Réponses:


Il existe une différence significative entre les autorités de certification autonomes et d'entreprise et chacune a son scénario d'utilisation.

CA d'entreprise

Ce type de CA offre les fonctionnalités suivantes:

  • intégration étroite avec Active Directory

Lorsque vous installez Enterprise CA dans une forêt AD, il est automatiquement publié sur AD et chaque membre de la forêt AD peut immédiatement communiquer avec l'autorité de certification pour demander des certificats.

  • modèles de certificat

Les modèles de certificats permettent aux entreprises de standardiser les certificats émis en fonction de leurs utilisations ou de quoi que ce soit d'autre. Les administrateurs configurent les modèles de certificat requis (avec les paramètres appropriés) et les envoient à l'autorité de certification pour émission. Les destinataires compatibles n'ont pas à s'inquiéter de la génération manuelle de demandes, la plateforme CryptoAPI préparera automatiquement la demande de certificat correcte, l'enverra à l'autorité de certification et récupérera le certificat émis. Si certaines propriétés de requête ne sont pas valides, CA les remplacera avec les valeurs correctes du modèle de certificat ou d'Active Directory.

  • inscription automatique

est une fonctionnalité redoutable de Enterprise CA. L'inscription automatique permet d'inscrire automatiquement les certificats pour les modèles configurés. Aucune interaction de l'utilisateur n'est requise, tout se passe automatiquement (bien entendu, l'inscription automatique nécessite une configuration initiale).

  • Clé d'archivage

cette fonctionnalité est sous-estimée par les administrateurs système, mais elle est extrêmement utile en tant que source de sauvegarde pour les certificats de cryptage utilisateur. Si la clé privée est perdue, elle peut être récupérée de la base de données de l'autorité de certification si nécessaire. Sinon, vous perdrez l'accès à votre contenu crypté.

CA autonome

Ce type de CA ne peut pas utiliser les fonctionnalités fournies par les CA d'entreprise. C'est:

  • Aucun modèle de certificat

cela signifie que chaque demande doit être préparée manuellement et doit inclure toutes les informations requises pour être incluses dans le certificat. En fonction des paramètres du modèle de certificat, Enterprise CA peut exiger uniquement des informations de clé. Les informations de reste sont automatiquement récupérées par CA. L'autorité de certification autonome ne le fera pas, car elle manque de source d'informations. La demande doit être littéralement complète.

  • approbation manuelle de demande de certificat

Étant donné que les autorités de certification autonomes n'utilisent pas de modèles de certificat, chaque demande doit être vérifiée manuellement par un responsable de l'autorité de certification afin de garantir qu'elle ne contient pas d'informations dangereuses.

  • pas d'inscription automatique, pas d'archivage de clé

Comme les autorités de certification autonomes ne nécessitent pas Active Directory, ces fonctionnalités sont désactivées pour ce type d'autorités de certification.

Résumé

Bien que, il peut sembler qu'une autorité de certification autonome soit une impasse, elle ne l'est pas. Les autorités de certification d'entreprise sont les mieux adaptées pour émettre des certificats aux entités finales (utilisateurs, périphériques) et sont conçues pour des scénarios "à volume élevé et à faible coût".

D'autre part, les autorités de certification autonomes conviennent mieux aux scnearios "à faible volume et à coût élevé", y compris ceux en mode hors connexion. Généralement, les autorités de certification autonomes agissent en tant qu'autorités de certification racine et de stratégie et émettent des certificats uniquement à d'autres autorités de certification. Étant donné que l'activité du certificat est assez faible, vous pouvez maintenir l'authentification autonome autonome hors ligne pendant une période assez longue (6 à 12 mois) et l'activer uniquement pour émettre une nouvelle liste de révocation de certificats ou signer un nouveau certificat d'autorité de certification subordonnée. En le gardant hors ligne, vous améliorez la sécurité de ses clés. Les meilleures pratiques suggèrent de ne jamais associer des autorités de certification autonomes à un réseau et d'assurer une bonne sécurité physique.

Lors de la mise en œuvre d'une infrastructure à clé publique à l'échelle de l'entreprise, vous devez vous concentrer sur une approche PKI à 2 niveaux avec une autorité de certification racine autonome et une autorité de certification d'entreprise subordonnée en ligne qui fonctionneront dans votre Active Directory.


11
2018-01-16 20:01





De toute évidence, l'intégration AD, comme vous l'avez déjà mentionné, est importante. Vous pouvez trouver une brève comparaison ici. L'auteur résume les différences comme suit:

Les ordinateurs d’un domaine font automatiquement confiance aux certificats de cette entreprise.   Problème de CA Avec les autorités de certification autonomes, vous devez utiliser la stratégie de groupe pour ajouter le   Certificat auto-signé de l'autorité de certification dans le magasin d'autorités de certification racines de confiance sur chaque   ordinateur dans le domaine. Les CA d'entreprise vous permettent également d'automatiser la   processus de demande et d'installation de certificats pour ordinateurs, et   si vous avez une autorité de certification d'entreprise s'exécutant sous Windows Server 2003   Enterprise Edition Server, vous pouvez même automatiser un certificat   inscription pour les utilisateurs avec la fonctionnalité d'inscription automatique.


1
2018-01-15 21:48



Malheureusement, l'auteur de l'article cité en référence est incorrect. Lors de l'installation d'une autorité de certification racine autonome avec un compte de domaine, le certificat de l'autorité de certification est publié dans Active Directory. Désolé, je ne peux pas poster de réponse ici. - Crypt32
@ Crypt32 Vous semblez bien placé pour répondre à la question, pourquoi vous ne pouvez pas poster là-bas? - yagmoth555♦
Parce qu'il était fermé à ce moment. - Crypt32


L'autorité de certification d'entreprise est utile aux entreprises (mais requiert l'accès aux services de domaine Active Directory):

  • Utilise la stratégie de groupe pour propager son certificat à la racine de confiance. Magasin de certificats des autorités de certification pour tous les utilisateurs et ordinateurs dans le domaine.
  • Publie les certificats utilisateur et les listes de révocation de certificats (CRL) à AD DS. Afin de publier des certificats sur AD DS, le serveur qui l'autorité de certification est installée sur doit être membre de l'éditeur de certificats groupe. Ceci est automatique pour le domaine dans lequel se trouve le serveur, mais le serveur doit être délégué les autorisations de sécurité appropriées pour publier certificats dans d'autres domaines.
  • Les autorités de certification d'entreprise appliquent des contrôles d'identification des utilisateurs lors du certificat inscription. Chaque modèle de certificat a un jeu d'autorisations de sécurité dans AD DS qui détermine si le demandeur de certificat est autorisés à recevoir le type de certificat demandé.
  • Le nom du sujet du certificat peut être généré automatiquement à partir du informations dans AD DS ou fournies explicitement par le demandeur.

    Plus d'infos sur Autonome et Entreprise ADCS CA.


0
2018-01-16 19:18