Existe uma diferença significativa entre CAs autônomas e corporativas e cada uma tem seu cenário de uso.
CAs corporativas
Esse tipo de CAs oferece os seguintes recursos:
- strong integração com o Active Directory
Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.
- modelos de certificado
Os modelos de certificado permitem que as empresas classifiquem certificados emitidos por seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com configurações apropriadas) e os colocam no CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI preparará automaticamente a solicitação de certificado correta, enviará a CA e recuperará o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá por valores corretos do modelo de certificado ou do Active Directory.
- autoenrollment de certificado
é um recurso fantástico da CA corporativa. O registro automático permite registrar automaticamente certificados para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (obviamente, o registro automático requer configuração inicial).
- Arquivamento de chaves
esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como uma fonte de backup para certificados de criptografia do usuário. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá acesso ao seu conteúdo criptografado.
CA autônoma
Este tipo de CA não pode utilizar recursos fornecidos por CAs corporativas. Isso é:
- Nenhum modelo de certificado
isso significa que todas as solicitações devem ser preparadas manualmente e devem incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes, as informações restantes serão recuperadas automaticamente pela CA. A CA autônoma não fará isso porque não possui fonte de informações. O pedido deve estar literalmente completo.
- aprovação manual de solicitação de certificado
Como a autoridade de certificação autônoma não usa modelos de certificado, cada solicitação deve ser verificada manualmente por um gerente de autoridade de certificação para garantir que a solicitação não contenha informações perigosas.
- sem registro automático, sem arquivamento de chave
Como a CA independente não exige o Active Directory, esses recursos estão desativados para esse tipo de autoridade de certificação.
Resumo
Embora, possa parecer que a CA Independente é um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e são projetadas para cenários de "alto volume e baixo custo".
Por outro lado, as CAs independentes são mais adequadas para pacientes com baixo volume e alto custo, incluindo os off-line. CAs geralmente autônomas são usadas para atuar como CA raiz e de diretiva e emitem certificados somente para outras autoridades de certificação. Como a atividade do certificado é bastante baixa, você pode manter a CA autônoma off-line por um período de tempo razoável (6 a 12 meses) e ativar apenas para emitir nova CRL ou assinar novo certificado de CA subordinada. Ao mantê-lo offline, você aprimora sua segurança de chave. As práticas recomendadas sugerem que você nunca conecte autoridades de certificação independentes a qualquer rede e ofereça boa segurança física.
Ao implementar a PKI corporativa, você deve se concentrar em uma abordagem de PKI de 2 níveis com a CA raiz autônoma offline e a AC subordinada corporativa on-line que operará no Active Directory.