Diferença entre Microsoft ADCS Standalone CA e Enterprise CA

10

Esta é uma pergunta canônica sobre os diferentes tipos de Microsoft Certificate Authority

Estou procurando informações sobre a diferença entre o Microsoft ADCS Enterprise CA e o CA autônomo?

Quando e onde devo usar cada tipo de autoridade de certificação? Tentei pesquisar no Google essa pergunta e encontrei apenas uma resposta que a CA autônoma não desfruta do Active Directory. O que devo levar em consideração antes de escolher um?

certificate-authority Aamir
fonte

Respostas:

13

Há uma diferença significativa entre as CAs autônoma e corporativa e cada uma tem seu cenário de uso.

CAs corporativas

Este tipo de CAs oferece os seguintes recursos:

  • forte integração com o Active Directory

Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.

  • modelos de certificado

Modelos de certificado permitem que as empresas padronizem certificados emitidos por seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com as configurações apropriadas) e os colocam na CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI prepara automaticamente a solicitação de certificado correta, a envia à CA e recupera o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá pelos valores corretos do modelo de certificado ou do Active Directory.

  • registro automático de certificado

é um recurso matador da Enterprise CA. O registro automático permite registrar automaticamente certificados para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (é claro, o registro automático requer configuração inicial).

  • Arquivo principal

esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como fonte de backup para certificados de criptografia de usuário. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá o acesso ao seu conteúdo criptografado.

CA autônoma

Esse tipo de autoridade de certificação não pode utilizar os recursos fornecidos pelas autoridades de certificação corporativas. Isso é:

  • Nenhum modelo de certificado

isso significa que todas as solicitações devem ser preparadas manualmente e devem incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes, as demais informações serão recuperadas automaticamente pela CA. A autoridade de certificação autônoma não fará isso porque não possui fonte de informações. A solicitação deve estar literalmente completa.

  • aprovação de solicitação de certificado manual

Como a CA autônoma não usa modelos de certificado, todas as solicitações devem ser verificadas manualmente por um gerente da CA para garantir que a solicitação não contenha informações perigosas.

  • sem registro automático, sem arquivamento de chaves

Como a CA autônoma não requer o Active Directory, esses recursos estão desabilitados para esse tipo de CA.

Sumário

Embora possa parecer que a CA autônoma seja um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e foram projetadas para cenários de "alto volume e baixo custo".

Por outro lado, as CAs autônomas são mais adequadas para scnearios de "baixo volume e alto custo", incluindo os offline. As CAs autônomas geralmente são usadas para atuar como CA de raiz e política e emitem certificados apenas para outras CAs. Como a atividade do certificado é muito baixa, você pode manter a CA autônoma offline por um período razoável de tempo (6 a 12 meses) e ativar apenas para emitir uma nova CRL ou assinar um novo certificado de CA subordinado. Ao mantê-lo offline, você aprimora sua segurança principal. As práticas recomendadas sugerem nunca conectar CAs autônomas a nenhuma rede e fornecer boa segurança física.

Ao implementar a PKI em toda a empresa, você deve se concentrar em uma abordagem de PKI de duas camadas com a CA raiz autônoma offline e a empresa subordinada corporativa on-line que operam no seu Active Directory.

Crypt32
fonte
1

Obviamente, a integração do AD, como você já mencionou, é grande. Você pode encontrar uma breve comparação aqui . O autor resume as diferenças da seguinte maneira:

Os computadores em um domínio confiam automaticamente nos certificados emitidos pelas CAs corporativas. Com as CAs autônomas, você deve usar a Diretiva de Grupo para adicionar o certificado autoassinado da CA ao armazenamento de CAs Raiz Confiáveis ​​em cada computador no domínio. As CAs corporativas também permitem automatizar o processo de solicitação e instalação de certificados para computadores e, se você tiver uma CA corporativa em execução em um servidor Windows Server 2003 Enterprise Edition, poderá automatizar o registro de certificados para usuários com o recurso de registro automático.

Jake Nelson
fonte
Infelizmente, o autor no artigo referenciado está incorreto. Ao instalar a CA raiz autônoma com uma conta de domínio, o certificado da CA é publicado no Active Directory. Desculpe, não posso postar resposta aqui.
precisa saber é o seguinte
@ Crypt32 Você parece bem posicionado para responder à pergunta, por que você não pode postar lá?
yagmoth555
1
Porque estava fechado naquele momento.
Crypt32
0

A CA corporativa fornece utilidade para as empresas (mas requer acesso aos Serviços de Domínio Active Directory):

  • Usa a Diretiva de Grupo para propagar seu certificado para o armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis ​​para todos os usuários e computadores no domínio.
  • Publica certificados de usuário e listas de revogação de certificados (CRLs) no AD DS. Para publicar certificados no AD DS, o servidor em que a CA está instalada deve ser membro do grupo Editores de Certificados. Isso é automático para o domínio em que o servidor está, mas o servidor deve receber as permissões de segurança adequadas para publicar certificados em outros domínios.
  • As CAs corporativas impõem verificações de credenciais aos usuários durante o registro do certificado. Cada modelo de certificado possui uma permissão de segurança definida no AD DS que determina se o solicitante de certificado está autorizado a receber o tipo de certificado solicitado.

  • O nome do assunto do certificado pode ser gerado automaticamente a partir das informações no AD DS ou fornecido explicitamente pelo solicitante.

    Mais informações sobre CA ADCS autônoma e corporativa.

Slipeer
fonte