Es gibt einen signifikanten Unterschied zwischen Standalone- und Enterprise-Zertifizierungsstellen und jede hat ihr Nutzungsszenario.
Unternehmenszertifizierungsstellen
Diese Art von Zertifizierungsstellen bietet die folgenden Funktionen:
- enge Integration mit Active Directory
Wenn Sie die Unternehmenszertifizierungsstelle in der AD-Gesamtstruktur installieren, wird sie automatisch in AD veröffentlicht, und jedes Mitglied der AD-Gesamtstruktur kann sofort mit der Zertifizierungsstelle kommunizieren, um Zertifikate anzufordern.
Mit Zertifikatvorlagen können Unternehmen ausgestellte Zertifikate anhand ihrer Verwendung oder was auch immer standardisieren. Administratoren konfigurieren die erforderlichen Zertifikatvorlagen (mit den entsprechenden Einstellungen) und legen sie zur Ausstellung an die Zertifizierungsstelle. Kompatible Empfänger müssen sich nicht um die manuelle Generierung von Anforderungen kümmern. Die CryptoAPI-Plattform bereitet automatisch die richtige Zertifikatanforderung vor, sendet sie an die Zertifizierungsstelle und ruft das ausgestellte Zertifikat ab. Wenn einige Anforderungseigenschaften ungültig sind, überschreibt die Zertifizierungsstelle sie mit den korrekten Werten aus der Zertifikatvorlage oder Active Directory.
- automatische Registrierung des Zertifikats
ist eine Killer-Funktion von Enterprise CA. Mit der automatischen Registrierung können Zertifikate für konfigurierte Vorlagen automatisch registriert werden. Es ist keine Benutzerinteraktion erforderlich, alles geschieht automatisch (für die automatische Registrierung ist natürlich eine Erstkonfiguration erforderlich).
Diese Funktion wird von Systemadministratoren unterschätzt, ist jedoch als Sicherungsquelle für Benutzerverschlüsselungszertifikate äußerst wertvoll. Wenn der private Schlüssel verloren geht, kann er bei Bedarf aus der CA-Datenbank wiederhergestellt werden. Andernfalls verlieren Sie den Zugriff auf Ihre verschlüsselten Inhalte.
Standalone-CA
Diese Art von Zertifizierungsstelle kann die von Unternehmenszertifizierungsstellen bereitgestellten Funktionen nicht verwenden. Das ist:
Dies bedeutet, dass jede Anfrage manuell vorbereitet werden muss und alle erforderlichen Informationen enthalten muss, um in das Zertifikat aufgenommen zu werden. Abhängig von den Einstellungen der Zertifikatvorlage benötigt die Unternehmenszertifizierungsstelle möglicherweise nur wichtige Informationen. Die restlichen Informationen werden automatisch von der Zertifizierungsstelle abgerufen. Eine eigenständige Zertifizierungsstelle wird dies nicht tun, da ihr die Informationsquelle fehlt. Die Anfrage muss buchstäblich vollständig sein.
- manuelle Genehmigung der Zertifikatsanforderung
Da eigenständige Zertifizierungsstellen keine Zertifikatvorlagen verwenden, muss jede Anforderung von einem Zertifizierungsstellenmanager manuell überprüft werden, um sicherzustellen, dass die Anforderung keine gefährlichen Informationen enthält.
- Keine automatische Registrierung, keine Schlüsselarchivierung
Da für eigenständige Zertifizierungsstellen kein Active Directory erforderlich ist, sind diese Funktionen für diesen CA-Typ deaktiviert.
Zusammenfassung
Obwohl es so aussieht, als wäre Standalone CA eine Sackgasse, ist dies nicht der Fall. Unternehmenszertifizierungsstellen eignen sich am besten zum Ausstellen von Zertifikaten an Endentitäten (Benutzer, Geräte) und sind für Szenarien mit hohem Volumen und geringen Kosten konzipiert.
Auf der anderen Seite eignen sich eigenständige Zertifizierungsstellen am besten für Scnearios mit geringem Volumen und hohen Kosten, einschließlich Offline-Scnearios. Im Allgemeinen werden eigenständige Zertifizierungsstellen als Stamm- und Richtlinienzertifizierungsstelle verwendet und stellen Zertifikate nur an andere Zertifizierungsstellen aus. Da die Zertifikataktivität recht gering ist, können Sie die eigenständige Zertifizierungsstelle für einen angemessenen Zeitraum (6 bis 12 Monate) offline halten und nur aktivieren, um eine neue CRL auszustellen oder ein neues untergeordnetes Zertifizierungsstellenzertifikat zu signieren. Indem Sie es offline halten, verbessern Sie die Schlüsselsicherheit. Best Practices empfehlen, niemals eigenständige Zertifizierungsstellen an ein Netzwerk anzuschließen und eine gute physische Sicherheit zu gewährleisten.
Bei der Implementierung einer unternehmensweiten PKI sollten Sie sich auf einen zweistufigen PKI-Ansatz mit einer eigenständigen Offline-Stammzertifizierungsstelle und einer untergeordneten Online-Zertifizierungsstelle konzentrieren, die in Ihrem Active Directory ausgeführt werden.
Die Unternehmenszertifizierungsstelle bietet Unternehmen Nützlichkeit (erfordert jedoch Zugriff auf Active Directory-Domänendienste):
Der Name des Zertifikatssubjekts kann automatisch aus den Informationen in AD DS generiert oder vom Anforderer explizit angegeben werden.
Weitere Informationen zu Standalone- und Enterprise ADCS-Zertifizierungsstellen.
quelle