Diferença entre CA Autônoma do Microsoft ADCS e CA Corporativa

8

This is a canonical question about the different types of Microsoft Certificate Authority

Estou procurando uma informação sobre a diferença entre a CA do Microsoft ADCS Enterprise e a CA autônoma?

Quando e onde devo usar cada tipo de autoridade de certificação? Eu tentei google esta questão e encontrei apenas uma resposta que a CA independente não gosta do Active Directory. O que devo levar em consideração antes de escolher um?

    
por Aamir 15.01.2017 / 22:32

3 respostas

11

Existe uma diferença significativa entre CAs autônomas e corporativas e cada uma tem seu cenário de uso.

CAs corporativas

Esse tipo de CAs oferece os seguintes recursos:

  • strong integração com o Active Directory

Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.

  • modelos de certificado

Os modelos de certificado permitem que as empresas classifiquem certificados emitidos por seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com configurações apropriadas) e os colocam no CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI preparará automaticamente a solicitação de certificado correta, enviará a CA e recuperará o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá por valores corretos do modelo de certificado ou do Active Directory.

  • autoenrollment de certificado

é um recurso fantástico da CA corporativa. O registro automático permite registrar automaticamente certificados para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (obviamente, o registro automático requer configuração inicial).

  • Arquivamento de chaves

esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como uma fonte de backup para certificados de criptografia do usuário. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá acesso ao seu conteúdo criptografado.

CA autônoma

Este tipo de CA não pode utilizar recursos fornecidos por CAs corporativas. Isso é:

  • Nenhum modelo de certificado

isso significa que todas as solicitações devem ser preparadas manualmente e devem incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes, as informações restantes serão recuperadas automaticamente pela CA. A CA autônoma não fará isso porque não possui fonte de informações. O pedido deve estar literalmente completo.

  • aprovação manual de solicitação de certificado

Como a autoridade de certificação autônoma não usa modelos de certificado, cada solicitação deve ser verificada manualmente por um gerente de autoridade de certificação para garantir que a solicitação não contenha informações perigosas.

  • sem registro automático, sem arquivamento de chave

Como a CA independente não exige o Active Directory, esses recursos estão desativados para esse tipo de autoridade de certificação.

Resumo

Embora, possa parecer que a CA Independente é um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e são projetadas para cenários de "alto volume e baixo custo".

Por outro lado, as CAs independentes são mais adequadas para pacientes com baixo volume e alto custo, incluindo os off-line. CAs geralmente autônomas são usadas para atuar como CA raiz e de diretiva e emitem certificados somente para outras autoridades de certificação. Como a atividade do certificado é bastante baixa, você pode manter a CA autônoma off-line por um período de tempo razoável (6 a 12 meses) e ativar apenas para emitir nova CRL ou assinar novo certificado de CA subordinada. Ao mantê-lo offline, você aprimora sua segurança de chave. As práticas recomendadas sugerem que você nunca conecte autoridades de certificação independentes a qualquer rede e ofereça boa segurança física.

Ao implementar a PKI corporativa, você deve se concentrar em uma abordagem de PKI de 2 níveis com a CA raiz autônoma offline e a AC subordinada corporativa on-line que operará no Active Directory.

    
por 16.01.2017 / 21:01
1

Obviamente, a integração do AD, como você já mencionou, é grande. Você pode encontrar uma breve comparação aqui . O autor resume as diferenças da seguinte forma:

Computers in a domain automatically trust certificates that enterprise CAs issue. With standalone CAs, you must use Group Policy to add the CA's self-signed certificate to the Trusted Root CAs store on each computer in the domain. Enterprise CAs also let you automate the process of requesting and installing certificates for computers, and if you have an enterprise CA running on a Windows Server 2003 Enterprise Edition server, you can even automate certificate enrollment for users with the auto-enrollment feature.

    
por 15.01.2017 / 22:48
0

O Enterprise CA fornece utilidade às empresas (mas requer acesso aos Serviços de Domínio do Active Directory):

  • usa a diretiva de grupo para propagar seu certificado para a raiz confiável Armazenamento de certificados de Autoridades de Certificação para todos os usuários e computadores no domínio.
  • Publica certificados de usuário e listas de revogação de certificados (CRLs) para o AD DS. Para publicar certificados no AD DS, o servidor que a CA é instalada deve ser um membro dos editores de certificado grupo. Isso é automático para o domínio no qual o servidor está, mas servidor deve ser delegado as permissões de segurança adequadas para publicar certificados em outros domínios.
  • As CAs corporativas reforçam as verificações de credenciais dos usuários durante o certificado inscrição. Cada modelo de certificado tem um conjunto de permissões de segurança no AD DS que determina se o solicitante do certificado é autorizados a receber o tipo de certificado que solicitaram.
  • O nome da entidade do certificado pode ser gerado automaticamente a partir do informações no AD DS ou fornecidas explicitamente pelo solicitante.

    Mais informações sobre Independente e Enterprise ADCS CA.

por 16.01.2017 / 20:18