Existe una diferencia significativa entre las CA independientes y las CA empresariales y cada una tiene su escenario de uso.
CA empresariales
Este tipo de CA ofrece las siguientes características:
- estrecha integración con Active Directory
Cuando instala Enterprise CA en el bosque de AD, se publica automáticamente en AD y cada miembro del bosque de AD puede comunicarse inmediatamente con CA para solicitar certificados.
- plantillas de certificado
Las plantillas de certificado permiten a las empresas estandarizar los certificados emitidos por sus usos o cualquier otra cosa. Los administradores configuran las plantillas de certificado requeridas (con la configuración adecuada) y las envían a CA para su emisión. Los destinatarios compatibles no tienen que molestarse con la generación manual de solicitudes, la plataforma CryptoAPI preparará automáticamente la solicitud de certificado correcta, la enviará a CA y recuperará el certificado emitido. Si algunas propiedades de solicitud no son válidas, CA las anulará con los valores correctos de la plantilla de certificado o Active Directory.
- inscripción automática de certificados
es una característica excelente de Enterprise CA. La inscripción automática permite inscribir automáticamente certificados para plantillas configuradas. No se requiere interacción del usuario, todo sucede automáticamente (por supuesto, la inscripción automática requiere una configuración inicial).
Los administradores de sistemas subestiman esta característica, pero es extremadamente valiosa como fuente de respaldo para los certificados de cifrado del usuario. Si se pierde la clave privada, se puede recuperar de la base de datos de CA si es necesario. De lo contrario, perderá acceso a su contenido cifrado.
CA independiente
Este tipo de CA no puede utilizar las funciones proporcionadas por las CA empresariales. Es decir:
- No hay plantillas de certificado
Esto significa que cada solicitud debe prepararse manualmente y debe incluir toda la información requerida para ser incluida en el certificado. Dependiendo de la configuración de la plantilla de certificado, CA empresarial puede requerir solo información clave, CA recuperará automáticamente la información restante. La CA independiente no hará eso, porque carece de fuente de información. La solicitud debe estar literalmente completa.
- aprobación de solicitud de certificado manual
Dado que CA independiente no utiliza plantillas de certificado, cada solicitud debe ser verificada manualmente por un administrador de CA para garantizar que la solicitud no contenga información peligrosa.
- sin inscripción automática, sin archivo clave
Dado que las CA independientes no requieren Active Directory, estas características están deshabilitadas para este tipo de CA.
Resumen
Aunque, puede parecer que CA independiente es un callejón sin salida, no lo es. Las CA empresariales son las más adecuadas para emitir certificados a entidades finales (usuarios, dispositivos) y están diseñadas para escenarios de "alto volumen y bajo costo".
Por otro lado, las CA independientes son más adecuadas para escenarios de "bajo volumen y alto costo", incluidos los fuera de línea. En general, las CA independientes se utilizan para actuar como CA raíz y de políticas y emiten certificados solo para otras CA. Dado que la actividad del certificado es bastante baja, puede mantener la CA independiente fuera de línea durante un período de tiempo razonable (6-12 meses) y activar solo para emitir una nueva CRL o firmar un nuevo certificado de CA subordinada. Al mantenerlo fuera de línea, mejora su seguridad clave. Las mejores prácticas sugieren nunca conectar CA independientes a ninguna red y proporcionar una buena seguridad física.
Al implementar PKI en toda la empresa, debe centrarse en un enfoque de PKI de 2 niveles con CA raíz autónoma fuera de línea y CA subordinada empresarial en línea que operará en su Active Directory.
Enterprise CA proporciona utilidad a las empresas (pero requiere acceso a los Servicios de dominio de Active Directory):
El nombre del sujeto del certificado se puede generar automáticamente a partir de la información en AD DS o el solicitante puede proporcionarlo explícitamente.
Más información sobre CA independiente y empresarial ADCS.
fuente