Diferencia entre Microsoft ADCS Standalone CA y Enterprise CA

10

Esta es una pregunta canónica sobre los diferentes tipos de Autoridad de certificación de Microsoft

Estoy buscando información sobre la diferencia entre Microsoft ADCS Enterprise CA y CA independiente.

¿Cuándo y dónde debo usar cada tipo de CA? Traté de buscar en Google esta pregunta y encontré solo una respuesta de que CA independiente no disfruta de Active Directory. ¿Qué debo tener en cuenta antes de elegir uno?

Aamir
fuente

Respuestas:

13

Existe una diferencia significativa entre las CA independientes y las CA empresariales y cada una tiene su escenario de uso.

CA empresariales

Este tipo de CA ofrece las siguientes características:

  • estrecha integración con Active Directory

Cuando instala Enterprise CA en el bosque de AD, se publica automáticamente en AD y cada miembro del bosque de AD puede comunicarse inmediatamente con CA para solicitar certificados.

  • plantillas de certificado

Las plantillas de certificado permiten a las empresas estandarizar los certificados emitidos por sus usos o cualquier otra cosa. Los administradores configuran las plantillas de certificado requeridas (con la configuración adecuada) y las envían a CA para su emisión. Los destinatarios compatibles no tienen que molestarse con la generación manual de solicitudes, la plataforma CryptoAPI preparará automáticamente la solicitud de certificado correcta, la enviará a CA y recuperará el certificado emitido. Si algunas propiedades de solicitud no son válidas, CA las anulará con los valores correctos de la plantilla de certificado o Active Directory.

  • inscripción automática de certificados

es una característica excelente de Enterprise CA. La inscripción automática permite inscribir automáticamente certificados para plantillas configuradas. No se requiere interacción del usuario, todo sucede automáticamente (por supuesto, la inscripción automática requiere una configuración inicial).

  • Archivo clave

Los administradores de sistemas subestiman esta característica, pero es extremadamente valiosa como fuente de respaldo para los certificados de cifrado del usuario. Si se pierde la clave privada, se puede recuperar de la base de datos de CA si es necesario. De lo contrario, perderá acceso a su contenido cifrado.

CA independiente

Este tipo de CA no puede utilizar las funciones proporcionadas por las CA empresariales. Es decir:

  • No hay plantillas de certificado

Esto significa que cada solicitud debe prepararse manualmente y debe incluir toda la información requerida para ser incluida en el certificado. Dependiendo de la configuración de la plantilla de certificado, CA empresarial puede requerir solo información clave, CA recuperará automáticamente la información restante. La CA independiente no hará eso, porque carece de fuente de información. La solicitud debe estar literalmente completa.

  • aprobación de solicitud de certificado manual

Dado que CA independiente no utiliza plantillas de certificado, cada solicitud debe ser verificada manualmente por un administrador de CA para garantizar que la solicitud no contenga información peligrosa.

  • sin inscripción automática, sin archivo clave

Dado que las CA independientes no requieren Active Directory, estas características están deshabilitadas para este tipo de CA.

Resumen

Aunque, puede parecer que CA independiente es un callejón sin salida, no lo es. Las CA empresariales son las más adecuadas para emitir certificados a entidades finales (usuarios, dispositivos) y están diseñadas para escenarios de "alto volumen y bajo costo".

Por otro lado, las CA independientes son más adecuadas para escenarios de "bajo volumen y alto costo", incluidos los fuera de línea. En general, las CA independientes se utilizan para actuar como CA raíz y de políticas y emiten certificados solo para otras CA. Dado que la actividad del certificado es bastante baja, puede mantener la CA independiente fuera de línea durante un período de tiempo razonable (6-12 meses) y activar solo para emitir una nueva CRL o firmar un nuevo certificado de CA subordinada. Al mantenerlo fuera de línea, mejora su seguridad clave. Las mejores prácticas sugieren nunca conectar CA independientes a ninguna red y proporcionar una buena seguridad física.

Al implementar PKI en toda la empresa, debe centrarse en un enfoque de PKI de 2 niveles con CA raíz autónoma fuera de línea y CA subordinada empresarial en línea que operará en su Active Directory.

Cripta32
fuente
1

Obviamente, la integración de AD como ya mencionó es muy grande. Puedes encontrar una breve comparación aquí . El autor resume las diferencias de la siguiente manera:

Las computadoras en un dominio confían automáticamente en los certificados que emiten las CA empresariales. Con las CA independientes, debe usar la Política de grupo para agregar el certificado autofirmado de la CA al almacén de CA raíz de confianza en cada computadora del dominio. Las CA empresariales también le permiten automatizar el proceso de solicitud e instalación de certificados para computadoras, y si tiene una CA empresarial que se ejecuta en un servidor Windows Server 2003 Enterprise Edition, incluso puede automatizar la inscripción de certificados para los usuarios con la función de inscripción automática.

Jake Nelson
fuente
Desafortunadamente, el autor en el artículo referenciado es incorrecto. Al instalar CA raíz independiente con cuenta de dominio, el certificado de CA se publica en Active Directory. Lo sentimos, no puedo publicar la respuesta aquí.
Crypt32
@ Crypt32 Parece que estás en condiciones de responder la pregunta, ¿por qué no puedes publicar allí?
yagmoth555
1
Porque estaba cerrado en ese momento.
Crypt32
0

Enterprise CA proporciona utilidad a las empresas (pero requiere acceso a los Servicios de dominio de Active Directory):

  • Utiliza la Política de grupo para propagar su certificado al almacén de certificados de las Autoridades de certificación raíz de confianza para todos los usuarios y equipos del dominio.
  • Publica certificados de usuario y listas de revocación de certificados (CRL) en AD DS. Para publicar certificados en AD DS, el servidor en el que está instalada la CA debe ser miembro del grupo de Editores de certificados. Esto es automático para el dominio en el que se encuentra el servidor, pero el servidor debe tener delegados los permisos de seguridad adecuados para publicar certificados en otros dominios.
  • Las CA empresariales hacen cumplir las verificaciones de credenciales en los usuarios durante la inscripción de certificados. Cada plantilla de certificado tiene un permiso de seguridad establecido en AD DS que determina si el solicitante del certificado está autorizado para recibir el tipo de certificado que ha solicitado.
  • El nombre del sujeto del certificado se puede generar automáticamente a partir de la información en AD DS o el solicitante puede proporcionarlo explícitamente.

    Más información sobre CA independiente y empresarial ADCS.

Slipeer
fuente