Différence entre Microsoft ADCS Standalone CA et Enterprise CA

10

Il s'agit d'une question canonique sur les différents types d'autorité de certification Microsoft

Je recherche des informations sur la différence entre Microsoft ADCS Enterprise CA et CA autonome?

Quand et où dois-je utiliser chaque type d'autorité de certification? J'ai essayé de google cette question et trouvé une seule réponse que CA autonome ne bénéficie pas d'Active Directory. Que dois-je prendre en considération avant d'en choisir un?

Aamir
la source

Réponses:

13

Il existe une différence significative entre les autorités de certification autonomes et d'entreprise et chacune a son scénario d'utilisation.

Autorités de certification d'entreprise

Ce type d'autorités de certification offre les fonctionnalités suivantes:

  • intégration étroite avec Active Directory

Lorsque vous installez Enterprise CA dans la forêt AD, il est automatiquement publié dans AD et chaque membre de la forêt AD peut immédiatement communiquer avec l'autorité de certification pour demander des certificats.

  • modèles de certificats

Les modèles de certificats permettent aux entreprises de normaliser les certificats émis en fonction de leurs usages ou de tout autre élément. Les administrateurs configurent les modèles de certificats requis (avec les paramètres appropriés) et les mettent à CA pour émission. Les destinataires compatibles n'ont pas à se soucier de la génération manuelle de demandes, la plateforme CryptoAPI préparera automatiquement la demande de certificat correcte, la soumettra à l'autorité de certification et récupérera le certificat émis. Si certaines propriétés de demande ne sont pas valides, CA les remplacera par les valeurs correctes du modèle de certificat ou d'Active Directory.

  • inscription automatique de certificat

est une fonctionnalité qui tue d'Enterprise CA. L'inscription automatique permet d'inscrire automatiquement des certificats pour les modèles configurés. Aucune interaction utilisateur n'est requise, tout se fait automatiquement (bien sûr, l'inscription automatique nécessite une configuration initiale).

  • Archivage des clés

cette fonctionnalité est sous-estimée par les administrateurs système, mais est extrêmement précieuse comme source de sauvegarde pour les certificats de chiffrement des utilisateurs. Si la clé privée est perdue, elle peut être récupérée de la base de données CA si nécessaire. Sinon, vous perdrez l'accès à votre contenu crypté.

CA autonome

Ce type de CA ne peut pas utiliser les fonctionnalités fournies par les CA d'entreprise. C'est:

  • Aucun modèle de certificat

cela signifie que chaque demande doit être préparée manuellement et doit inclure toutes les informations requises pour être incluses dans le certificat. Selon les paramètres du modèle de certificat, l'autorité de certification d'entreprise peut ne nécessiter que des informations clés, les informations de repos seront automatiquement récupérées par l'autorité de certification. L'autorité de certification autonome ne le fera pas, car elle manque de source d'informations. La demande doit être littéralement complète.

  • approbation manuelle de la demande de certificat

Étant donné que l'autorité de certification autonome n'utilise pas de modèles de certificat, chaque demande doit être vérifiée manuellement par un gestionnaire d'autorité de certification pour garantir que la demande ne contient pas d'informations dangereuses.

  • pas d'inscription automatique, pas d'archivage des clés

Étant donné que l'autorité de certification autonome ne nécessite pas Active Directory, ces fonctionnalités sont désactivées pour ce type d'autorités de certification.

Sommaire

Bien qu'il puisse sembler que CA autonome est une impasse, ce n'est pas le cas. Les autorités de certification d'entreprise sont les mieux adaptées pour délivrer des certificats aux entités finales (utilisateurs, appareils) et sont conçues pour des scénarios «à haut volume et à faible coût».

D'un autre côté, les autorités de certification autonomes conviennent le mieux aux scnearios «à faible volume et à coût élevé», y compris ceux hors ligne. Généralement, les autorités de certification autonomes sont utilisées pour agir en tant qu'autorité de certification racine et politique et elles n'émettent des certificats qu'aux autres autorités de certification. Étant donné que l'activité des certificats est assez faible, vous pouvez garder CA autonome hors ligne pendant une durée raisonnable (6 à 12 mois) et l'activer uniquement pour émettre une nouvelle CRL ou signer un nouveau certificat de CA subordonné. En le gardant hors ligne, vous améliorez sa sécurité des clés. Les meilleures pratiques suggèrent de ne jamais associer d'autorités de certification autonomes à un réseau et de fournir une bonne sécurité physique.

Lors de la mise en œuvre d'une infrastructure PKI à l'échelle de l'entreprise, vous devez vous concentrer sur une approche PKI à deux niveaux avec une autorité de certification racine autonome hors ligne et une autorité de certification subordonnée d'entreprise en ligne qui fonctionnera dans votre Active Directory.

Crypt32
la source
1

De toute évidence, l'intégration AD, comme vous l'avez déjà mentionné, est importante. Vous pouvez trouver une brève comparaison ici . L'auteur résume les différences comme suit:

Les ordinateurs d'un domaine approuvent automatiquement les certificats émis par les autorités de certification d'entreprise. Avec les autorités de certification autonomes, vous devez utiliser la stratégie de groupe pour ajouter le certificat auto-signé de l'autorité de certification au magasin des autorités de certification racines de confiance sur chaque ordinateur du domaine. Les autorités de certification d'entreprise vous permettent également d'automatiser le processus de demande et d'installation de certificats pour les ordinateurs, et si vous avez une autorité de certification d'entreprise exécutée sur un serveur Windows Server 2003 Enterprise Edition, vous pouvez même automatiser l'inscription de certificats pour les utilisateurs avec la fonction d'inscription automatique.

Jake Nelson
la source
Malheureusement, l'auteur de l'article référencé est incorrect. Lors de l'installation de l'autorité de certification racine autonome avec un compte de domaine, le certificat de l'autorité de certification est publié dans Active Directory. Désolé, je ne peux pas poster de réponse ici.
Crypt32
@ Crypt32 Vous semblez bien placé pour répondre à la question, pourquoi vous ne pouvez pas y poster?
yagmoth555
1
Parce qu'il était fermé à ce moment-là.
Crypt32
0

Enterprise CA offre une utilité aux entreprises (mais nécessite un accès aux services de domaine Active Directory):

  • Utilise la stratégie de groupe pour propager son certificat vers le magasin de certificats des autorités de certification racines de confiance pour tous les utilisateurs et ordinateurs du domaine.
  • Publie des certificats utilisateur et des listes de révocation de certificats (CRL) sur AD DS. Pour publier des certificats sur AD DS, le serveur sur lequel l'autorité de certification est installée doit être membre du groupe des éditeurs de certificats. Ceci est automatique pour le domaine dans lequel se trouve le serveur, mais le serveur doit se voir déléguer les autorisations de sécurité appropriées pour publier des certificats dans d'autres domaines.
  • Les autorités de certification d'entreprise appliquent les vérifications d'informations d'identification aux utilisateurs lors de l'inscription des certificats. Chaque modèle de certificat possède un ensemble d'autorisations de sécurité dans AD DS qui détermine si le demandeur de certificat est autorisé à recevoir le type de certificat qu'il a demandé.
  • Le nom du sujet du certificat peut être généré automatiquement à partir des informations dans AD DS ou fourni explicitement par le demandeur.

    Plus d'informations sur CA ADCS autonome et d' entreprise .

Slipeer
la source