Differenza tra CA ADCS autonoma e CA aziendale

10

Questa è una domanda canonica sui diversi tipi di autorità di certificazione Microsoft

Sto cercando informazioni sulla differenza tra CA di Microsoft ADCS Enterprise e CA autonoma?

Quando e dove dovrei usare ogni tipo di CA? Ho provato a Google questa domanda e ho trovato una sola risposta che CA autonomo non gode di Active Directory. Cosa dovrei prendere in considerazione prima di sceglierne uno?

certificate-authority 
Aamir
fonte

Risposte:

13

Esiste una differenza significativa tra CA autonome ed Enterprise e ognuna presenta uno scenario di utilizzo.

CA aziendali

Questo tipo di CA offre le seguenti funzionalità:

  • stretta integrazione con Active Directory

Quando si installa CA Enterprise nella foresta AD, viene automaticamente pubblicato in AD e ogni membro della foresta AD può comunicare immediatamente con CA per richiedere certificati.

  • modelli di certificato

I modelli di certificato consentono alle aziende di classificare i certificati emessi in base ai loro usi o quant'altro. Gli amministratori configurano i modelli di certificato richiesti (con le impostazioni appropriate) e li inviano alla CA per l'emissione. I destinatari compatibili non devono preoccuparsi della generazione manuale delle richieste, la piattaforma CryptoAPI preparerà automaticamente la richiesta di certificato corretta, la inoltrerà alla CA e recupererà il certificato emesso. Se alcune proprietà della richiesta non sono valide, CA le sovrascriverà con i valori corretti dal modello di certificato o da Active Directory.

  • registrazione automatica del certificato

è una caratteristica killer di Enterprise CA. La registrazione automatica consente di registrare automaticamente i certificati per i modelli configurati. Non è richiesta l'interazione dell'utente, tutto avviene automaticamente (ovviamente, la registrazione automatica richiede la configurazione iniziale).

  • Archivio chiave

questa funzione è sottovalutata dagli amministratori di sistema, ma è estremamente preziosa come fonte di backup per i certificati di crittografia dell'utente. Se la chiave privata viene persa, può essere recuperata dal database CA se necessario. Altrimenti, perderai l'accesso al tuo contenuto crittografato.

CA autonoma

Questo tipo di CA non può utilizzare le funzionalità fornite dalle CA Enterprise. Questo è:

  • Nessun modello di certificato

ciò significa che ogni richiesta deve essere preparata manualmente e deve includere tutte le informazioni richieste per essere incluse nel certificato. A seconda delle impostazioni del modello di certificato, CA Enterprise potrebbe richiedere solo informazioni chiave, le informazioni di resto verranno automaticamente recuperate da CA. La CA autonoma non lo farà, perché manca di fonte di informazioni. La richiesta deve essere letteralmente completa.

  • approvazione manuale richiesta certificato

Poiché la CA autonoma non utilizza i modelli di certificato, ogni richiesta deve essere verificata manualmente da un gestore della CA per assicurarsi che la richiesta non contenga informazioni pericolose.

  • nessuna registrazione automatica, nessun archivio chiave

Poiché le CA autonome non richiedono Active Directory, queste funzionalità sono disabilitate per questo tipo di CA.

Sommario

Sebbene, potrebbe sembrare che la CA autonoma sia un vicolo cieco, non lo è. Le CA Enterprise sono le più adatte a rilasciare certificati alle entità finali (utenti, dispositivi) ed è progettata per scenari "volume elevato, basso costo".

D'altra parte, le CA autonome sono le più adatte per scenari "a basso volume e ad alto costo", compresi quelli offline. Generalmente le CA autonome vengono utilizzate come CA radice e delle politiche e rilasciano certificati solo ad altre CA. Poiché l'attività del certificato è piuttosto bassa, è possibile mantenere la CA autonoma offline per un periodo di tempo ragionevole (6-12 mesi) e attivare solo per emettere nuovo CRL o firmare un nuovo certificato CA subordinato. Tenendolo offline, migliora la sua sicurezza chiave. Le migliori pratiche suggeriscono di non collegare mai CA autonome a nessuna rete e fornire una buona sicurezza fisica.

Quando si implementa la PKI a livello aziendale, è necessario concentrarsi su un approccio PKI a 2 livelli con CA radice autonoma offline e CA subordinata aziendale online che funzionerà in Active Directory.

crypt32
fonte
1

Ovviamente l'integrazione di AD come hai già accennato è grande. Puoi trovare un breve confronto qui . L'autore riassume le differenze come segue:

I computer di un dominio si affidano automaticamente ai certificati emessi dalle CA aziendali. Con le CA autonome, è necessario utilizzare Criteri di gruppo per aggiungere il certificato autofirmato della CA all'archivio delle CA radice attendibili su ciascun computer nel dominio. Le CA aziendali consentono inoltre di automatizzare il processo di richiesta e installazione di certificati per computer e se si dispone di una CA aziendale in esecuzione su un server Windows Server 2003 Enterprise Edition, è anche possibile automatizzare la registrazione dei certificati per gli utenti con la funzione di registrazione automatica.

Jake Nelson
fonte
Sfortunatamente, l'autore nell'articolo di riferimento è errato. Quando si installa CA radice autonoma con account di dominio, il certificato CA viene pubblicato in Active Directory. Siamo spiacenti, non posso pubblicare la risposta qui.
Crypt32,
@ Crypt32 Sembri in una buona posizione per rispondere alla domanda, perché non puoi pubblicare lì?
yagmoth555
1
Perché era chiuso in quel momento.
Crypt32,
0

Enterprise CA fornisce utilità alle aziende (ma richiede l'accesso ai servizi di dominio Active Directory):

  • Utilizza i criteri di gruppo per propagare il proprio certificato all'archivio certificati delle autorità di certificazione radice attendibili per tutti gli utenti e i computer nel dominio.
  • Pubblica certificati utente e elenchi di revoche di certificati (CRL) in Servizi di dominio Active Directory. Per pubblicare i certificati in Servizi di dominio Active Directory, il server su cui è installata la CA deve essere un membro del gruppo Editori certificati. È automatico per il dominio in cui si trova il server, ma al server devono essere delegate le autorizzazioni di sicurezza appropriate per pubblicare certificati in altri domini.
  • Le CA Enterprise impongono controlli delle credenziali sugli utenti durante la registrazione dei certificati. Ogni modello di certificato ha un'autorizzazione di sicurezza impostata in Servizi di dominio Active Directory che determina se il richiedente del certificato è autorizzato a ricevere il tipo di certificato richiesto.

  • Il nome dell'oggetto del certificato può essere generato automaticamente dalle informazioni in Servizi di dominio Active Directory o fornito esplicitamente dal richiedente.

    Ulteriori informazioni su CA ADCS autonoma ed Enterprise.

Slipeer
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.