Unterschied zwischen Microsoft ADCS Standalone CA und Enterprise CA

10

Dies ist eine kanonische Frage zu den verschiedenen Arten von Microsoft Certificate Authority

Ich suche nach Informationen zum Unterschied zwischen Microsoft ADCS Enterprise CA und Standalone CA?

Wann und wo sollte ich jeden CA-Typ verwenden? Ich habe versucht, diese Frage zu googeln, und nur eine Antwort gefunden, dass Standalone CA Active Directory nicht mag. Was sollte ich beachten, bevor ich eines auswähle?

Aamir
quelle

Antworten:

13

Es gibt einen signifikanten Unterschied zwischen Standalone- und Enterprise-Zertifizierungsstellen und jede hat ihr Nutzungsszenario.

Unternehmenszertifizierungsstellen

Diese Art von Zertifizierungsstellen bietet die folgenden Funktionen:

  • enge Integration mit Active Directory

Wenn Sie die Unternehmenszertifizierungsstelle in der AD-Gesamtstruktur installieren, wird sie automatisch in AD veröffentlicht, und jedes Mitglied der AD-Gesamtstruktur kann sofort mit der Zertifizierungsstelle kommunizieren, um Zertifikate anzufordern.

  • Zertifikatvorlagen

Mit Zertifikatvorlagen können Unternehmen ausgestellte Zertifikate anhand ihrer Verwendung oder was auch immer standardisieren. Administratoren konfigurieren die erforderlichen Zertifikatvorlagen (mit den entsprechenden Einstellungen) und legen sie zur Ausstellung an die Zertifizierungsstelle. Kompatible Empfänger müssen sich nicht um die manuelle Generierung von Anforderungen kümmern. Die CryptoAPI-Plattform bereitet automatisch die richtige Zertifikatanforderung vor, sendet sie an die Zertifizierungsstelle und ruft das ausgestellte Zertifikat ab. Wenn einige Anforderungseigenschaften ungültig sind, überschreibt die Zertifizierungsstelle sie mit den korrekten Werten aus der Zertifikatvorlage oder Active Directory.

  • automatische Registrierung des Zertifikats

ist eine Killer-Funktion von Enterprise CA. Mit der automatischen Registrierung können Zertifikate für konfigurierte Vorlagen automatisch registriert werden. Es ist keine Benutzerinteraktion erforderlich, alles geschieht automatisch (für die automatische Registrierung ist natürlich eine Erstkonfiguration erforderlich).

  • Schlüsselarchivierung

Diese Funktion wird von Systemadministratoren unterschätzt, ist jedoch als Sicherungsquelle für Benutzerverschlüsselungszertifikate äußerst wertvoll. Wenn der private Schlüssel verloren geht, kann er bei Bedarf aus der CA-Datenbank wiederhergestellt werden. Andernfalls verlieren Sie den Zugriff auf Ihre verschlüsselten Inhalte.

Standalone-CA

Diese Art von Zertifizierungsstelle kann die von Unternehmenszertifizierungsstellen bereitgestellten Funktionen nicht verwenden. Das ist:

  • Keine Zertifikatvorlagen

Dies bedeutet, dass jede Anfrage manuell vorbereitet werden muss und alle erforderlichen Informationen enthalten muss, um in das Zertifikat aufgenommen zu werden. Abhängig von den Einstellungen der Zertifikatvorlage benötigt die Unternehmenszertifizierungsstelle möglicherweise nur wichtige Informationen. Die restlichen Informationen werden automatisch von der Zertifizierungsstelle abgerufen. Eine eigenständige Zertifizierungsstelle wird dies nicht tun, da ihr die Informationsquelle fehlt. Die Anfrage muss buchstäblich vollständig sein.

  • manuelle Genehmigung der Zertifikatsanforderung

Da eigenständige Zertifizierungsstellen keine Zertifikatvorlagen verwenden, muss jede Anforderung von einem Zertifizierungsstellenmanager manuell überprüft werden, um sicherzustellen, dass die Anforderung keine gefährlichen Informationen enthält.

  • Keine automatische Registrierung, keine Schlüsselarchivierung

Da für eigenständige Zertifizierungsstellen kein Active Directory erforderlich ist, sind diese Funktionen für diesen CA-Typ deaktiviert.

Zusammenfassung

Obwohl es so aussieht, als wäre Standalone CA eine Sackgasse, ist dies nicht der Fall. Unternehmenszertifizierungsstellen eignen sich am besten zum Ausstellen von Zertifikaten an Endentitäten (Benutzer, Geräte) und sind für Szenarien mit hohem Volumen und geringen Kosten konzipiert.

Auf der anderen Seite eignen sich eigenständige Zertifizierungsstellen am besten für Scnearios mit geringem Volumen und hohen Kosten, einschließlich Offline-Scnearios. Im Allgemeinen werden eigenständige Zertifizierungsstellen als Stamm- und Richtlinienzertifizierungsstelle verwendet und stellen Zertifikate nur an andere Zertifizierungsstellen aus. Da die Zertifikataktivität recht gering ist, können Sie die eigenständige Zertifizierungsstelle für einen angemessenen Zeitraum (6 bis 12 Monate) offline halten und nur aktivieren, um eine neue CRL auszustellen oder ein neues untergeordnetes Zertifizierungsstellenzertifikat zu signieren. Indem Sie es offline halten, verbessern Sie die Schlüsselsicherheit. Best Practices empfehlen, niemals eigenständige Zertifizierungsstellen an ein Netzwerk anzuschließen und eine gute physische Sicherheit zu gewährleisten.

Bei der Implementierung einer unternehmensweiten PKI sollten Sie sich auf einen zweistufigen PKI-Ansatz mit einer eigenständigen Offline-Stammzertifizierungsstelle und einer untergeordneten Online-Zertifizierungsstelle konzentrieren, die in Ihrem Active Directory ausgeführt werden.

Crypt32
quelle
1

Offensichtlich ist die AD-Integration, wie Sie bereits erwähnt haben, eine große. Einen kurzen Vergleich finden Sie hier . Der Autor fasst die Unterschiede wie folgt zusammen:

Computer in einer Domäne vertrauen automatisch Zertifikaten, die von Unternehmenszertifizierungsstellen ausgestellt werden. Bei eigenständigen Zertifizierungsstellen müssen Sie Gruppenrichtlinien verwenden, um das selbstsignierte Zertifikat der Zertifizierungsstelle zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Computer in der Domäne hinzuzufügen. Mit Unternehmenszertifizierungsstellen können Sie auch das Anfordern und Installieren von Zertifikaten für Computer automatisieren. Wenn auf einem Windows Server 2003 Enterprise Edition-Server eine Unternehmenszertifizierungsstelle ausgeführt wird, können Sie mit der Funktion zur automatischen Registrierung sogar die Zertifikatregistrierung für Benutzer automatisieren.

Jake Nelson
quelle
Leider ist der Autor in dem Artikel, auf den verwiesen wird, falsch. Bei der Installation der eigenständigen Stammzertifizierungsstelle mit Domänenkonto wird das Zertifizierungsstellenzertifikat in Active Directory veröffentlicht. Entschuldigung, kann hier keine Antwort posten.
Crypt32
@ Crypt32 Sie scheinen gut aufgestellt zu sein, um die Frage zu beantworten, warum Sie dort nicht posten können.
Yagmoth555
1
Weil es in diesem Moment geschlossen war.
Crypt32
0

Die Unternehmenszertifizierungsstelle bietet Unternehmen Nützlichkeit (erfordert jedoch Zugriff auf Active Directory-Domänendienste):

  • Verwendet Gruppenrichtlinien, um das Zertifikat für alle Benutzer und Computer in der Domäne an den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen weiterzugeben.
  • Veröffentlicht Benutzerzertifikate und Zertifikatsperrlisten (CRLs) in AD DS. Um Zertifikate in AD DS zu veröffentlichen, muss der Server, auf dem die Zertifizierungsstelle installiert ist, Mitglied der Gruppe Certificate Publishers sein. Dies erfolgt automatisch für die Domäne, in der sich der Server befindet. Dem Server müssen jedoch die entsprechenden Sicherheitsberechtigungen zum Veröffentlichen von Zertifikaten in anderen Domänen übertragen werden.
  • Unternehmenszertifizierungsstellen erzwingen während der Zertifikatsregistrierung eine Überprüfung der Anmeldeinformationen für Benutzer. Für jede Zertifikatvorlage ist in AD DS eine Sicherheitsberechtigung festgelegt, die bestimmt, ob der Zertifikatanforderer berechtigt ist, den von ihm angeforderten Zertifikatstyp zu empfangen.
  • Der Name des Zertifikatssubjekts kann automatisch aus den Informationen in AD DS generiert oder vom Anforderer explizit angegeben werden.

    Weitere Informationen zu Standalone- und Enterprise ADCS-Zertifizierungsstellen.

Slipeer
quelle