Sự khác biệt giữa CA độc lập Microsoft ADCS và CA doanh nghiệp

Đây là một câu hỏi chính tắc về các loại khác nhau của Cơ quan cấp chứng chỉ Microsoft

Tôi đang tìm kiếm thông tin về sự khác biệt giữa Microsoft ADCS Enterprise CA và CA độc lập?

Khi nào và ở đâu tôi nên sử dụng từng loại CA? Tôi đã cố gắng google câu hỏi này và chỉ tìm thấy một câu trả lời rằng CA độc lập không thích Active Directory. Những gì tôi nên xem xét trước khi chọn một?

Có sự khác biệt đáng kể giữa CA độc lập và CA doanh nghiệp và mỗi loại có kịch bản sử dụng.

CA doanh nghiệp

Loại CA này cung cấp các tính năng sau:

• tích hợp chặt chẽ với Active Directory

Khi bạn cài đặt Enterprise CA trong rừng AD, nó sẽ tự động được xuất bản lên AD và mỗi bộ nhớ rừng AD có thể liên lạc ngay với CA để yêu cầu chứng chỉ.

• mẫu chứng chỉ

Mẫu chứng chỉ cho phép doanh nghiệp đứng ra chứng nhận được cấp bằng cách sử dụng hoặc bất cứ điều gì khác. Quản trị viên cấu hình các mẫu chứng chỉ bắt buộc (có cài đặt phù hợp) và đưa chúng vào CA để phát hành. Người nhận tương thích không phải bận tâm với việc tạo yêu cầu thủ công, nền tảng CryptoAPI sẽ tự động chuẩn bị yêu cầu chứng chỉ chính xác, gửi tới CA và truy xuất chứng chỉ đã cấp. Nếu một số thuộc tính yêu cầu không hợp lệ, CA sẽ ghi đè chúng bằng các giá trị chính xác từ mẫu chứng chỉ hoặc Active Directory.

• chứng chỉ tự động

là một tính năng giết người của Enterprise CA. Autoenrollment cho phép tự động đăng ký chứng chỉ cho các mẫu được cấu hình. Không yêu cầu tương tác người dùng, mọi thứ diễn ra tự động (tất nhiên, tự động đăng ký yêu cầu cấu hình ban đầu).

• Lưu trữ chính

tính năng này được đánh giá thấp bởi các quản trị viên hệ thống, nhưng cực kỳ có giá trị như một nguồn dự phòng cho chứng chỉ mã hóa người dùng. Nếu khóa riêng bị mất, nó có thể được phục hồi từ cơ sở dữ liệu CA nếu cần thiết. Nếu không, bạn sẽ mất quyền truy cập vào nội dung được mã hóa của bạn.

CA độc lập

Loại CA này không thể sử dụng các tính năng được cung cấp bởi CA doanh nghiệp. Đó là:

• Không có mẫu chứng chỉ

điều này có nghĩa là mọi yêu cầu phải được chuẩn bị thủ công và phải bao gồm tất cả các thông tin cần thiết để được đưa vào chứng chỉ. Tùy thuộc vào cài đặt mẫu chứng chỉ, CA doanh nghiệp chỉ có thể yêu cầu thông tin chính, thông tin còn lại sẽ được CA tự động truy xuất. CA độc lập sẽ không làm điều đó, vì nó thiếu nguồn thông tin. Yêu cầu phải được hoàn thành theo nghĩa đen.

• chứng nhận yêu cầu chứng nhận thủ công

Vì CA độc lập không sử dụng các mẫu chứng chỉ, mọi yêu cầu phải được người quản lý CA xác minh thủ công để đảm bảo rằng yêu cầu đó không chứa thông tin nguy hiểm.

• không tự động đăng ký, không lưu trữ khóa

Vì CA độc lập không yêu cầu Active Directory, các tính năng này bị vô hiệu hóa cho loại CA này.

Tóm lược

Mặc dù, có vẻ như CA độc lập là một ngõ cụt, nhưng không phải vậy. CA doanh nghiệp phù hợp nhất để cấp chứng chỉ cho các thực thể cuối (người dùng, thiết bị) và được thiết kế cho các tình huống "khối lượng lớn, chi phí thấp".

Mặt khác, CA độc lập phù hợp nhất cho các scgiosios "khối lượng thấp, chi phí cao", bao gồm cả những người ngoại tuyến. Nói chung, các CA độc lập được sử dụng để hoạt động như CA gốc và CA chính sách và chúng chỉ cấp chứng chỉ cho các CA khác. Vì hoạt động chứng chỉ khá thấp, bạn có thể giữ CA độc lập ngoại tuyến trong thời gian lớn hợp lý (6-12 tháng) và chỉ bật để phát hành CRL mới hoặc ký chứng chỉ CA cấp dưới mới. Bằng cách giữ ngoại tuyến, bạn tăng cường bảo mật chính của nó. Thực tiễn tốt nhất đề nghị không bao giờ gắn CA độc lập vào bất kỳ mạng nào và cung cấp bảo mật vật lý tốt.

Khi triển khai PKI toàn doanh nghiệp, bạn nên tập trung vào cách tiếp cận PKI 2 tầng với CA gốc độc lập ngoại tuyến và CA cấp dưới doanh nghiệp trực tuyến sẽ hoạt động trong Active Directory của bạn.

Rõ ràng sự tích hợp AD như bạn đã đề cập là một vấn đề lớn. Bạn có thể tìm thấy một so sánh ngắn gọn ở đây . Tác giả tóm tắt sự khác biệt như sau:

Máy tính trong một miền tự động tin cậy các chứng chỉ mà CA doanh nghiệp cấp. Với các CA độc lập, bạn phải sử dụng Chính sách nhóm để thêm chứng chỉ tự ký của CA vào cửa hàng CA gốc đáng tin cậy trên mỗi máy tính trong miền. CA doanh nghiệp cũng cho phép bạn tự động hóa quy trình yêu cầu và cài đặt chứng chỉ cho máy tính và nếu bạn có CA doanh nghiệp chạy trên máy chủ Windows Server 2003 Enterprise Edition, bạn thậm chí có thể tự động đăng ký chứng chỉ cho người dùng bằng tính năng đăng ký tự động.

Enterprise CA cung cấp tính hữu dụng cho doanh nghiệp (nhưng yêu cầu quyền truy cập vào Dịch vụ miền Active Directory):

• Sử dụng Chính sách nhóm để tuyên truyền chứng chỉ của mình đến kho lưu trữ chứng chỉ ủy quyền chứng chỉ gốc đáng tin cậy cho tất cả người dùng và máy tính trong miền.
• Xuất bản chứng chỉ người dùng và danh sách thu hồi chứng chỉ (CRL) lên AD DS. Để xuất bản chứng chỉ lên AD DS, máy chủ mà CA được cài đặt phải là thành viên của nhóm Nhà xuất bản Chứng chỉ. Điều này là tự động cho miền mà máy chủ đang ở, nhưng máy chủ phải được ủy quyền các quyền bảo mật thích hợp để xuất bản chứng chỉ trong các miền khác.
• CA doanh nghiệp thực thi kiểm tra thông tin xác thực trên người dùng trong quá trình đăng ký chứng chỉ. Mỗi mẫu chứng chỉ có một quyền bảo mật được đặt trong AD DS để xác định xem người yêu cầu chứng chỉ có được phép nhận loại chứng chỉ mà họ đã yêu cầu hay không.

• Tên chủ đề chứng chỉ có thể được tạo tự động từ thông tin trong AD DS hoặc được cung cấp rõ ràng bởi người yêu cầu.

  Thông tin thêm về Độc lập và Doanh nghiệp ADCS CA.