Dies ist eine kanonische Frage zu den verschiedenen Arten von Microsoft Certificate Authority
Ich suche nach Informationen zum Unterschied zwischen Microsoft ADCS Enterprise CA und Standalone CA?
Wann und wo sollte ich jeden CA-Typ verwenden? Ich habe versucht, diese Frage zu googeln, und nur eine Antwort gefunden, dass Standalone CA Active Directory nicht mag. Was sollte ich beachten, bevor ich eines auswähle?
Antworten:
Es gibt einen signifikanten Unterschied zwischen Standalone- und Enterprise-Zertifizierungsstellen und jede hat ihr Nutzungsszenario.
Diese Art von Zertifizierungsstellen bietet die folgenden Funktionen:
Wenn Sie die Unternehmenszertifizierungsstelle in der AD-Gesamtstruktur installieren, wird sie automatisch in AD veröffentlicht, und jedes Mitglied der AD-Gesamtstruktur kann sofort mit der Zertifizierungsstelle kommunizieren, um Zertifikate anzufordern.
Mit Zertifikatvorlagen können Unternehmen ausgestellte Zertifikate anhand ihrer Verwendung oder was auch immer standardisieren. Administratoren konfigurieren die erforderlichen Zertifikatvorlagen (mit den entsprechenden Einstellungen) und legen sie zur Ausstellung an die Zertifizierungsstelle. Kompatible Empfänger müssen sich nicht um die manuelle Generierung von Anforderungen kümmern. Die CryptoAPI-Plattform bereitet automatisch die richtige Zertifikatanforderung vor, sendet sie an die Zertifizierungsstelle und ruft das ausgestellte Zertifikat ab. Wenn einige Anforderungseigenschaften ungültig sind, überschreibt die Zertifizierungsstelle sie mit den korrekten Werten aus der Zertifikatvorlage oder Active Directory.
ist eine Killer-Funktion von Enterprise CA. Mit der automatischen Registrierung können Zertifikate für konfigurierte Vorlagen automatisch registriert werden. Es ist keine Benutzerinteraktion erforderlich, alles geschieht automatisch (für die automatische Registrierung ist natürlich eine Erstkonfiguration erforderlich).
Diese Funktion wird von Systemadministratoren unterschätzt, ist jedoch als Sicherungsquelle für Benutzerverschlüsselungszertifikate äußerst wertvoll. Wenn der private Schlüssel verloren geht, kann er bei Bedarf aus der CA-Datenbank wiederhergestellt werden. Andernfalls verlieren Sie den Zugriff auf Ihre verschlüsselten Inhalte.
Diese Art von Zertifizierungsstelle kann die von Unternehmenszertifizierungsstellen bereitgestellten Funktionen nicht verwenden. Das ist:
Dies bedeutet, dass jede Anfrage manuell vorbereitet werden muss und alle erforderlichen Informationen enthalten muss, um in das Zertifikat aufgenommen zu werden. Abhängig von den Einstellungen der Zertifikatvorlage benötigt die Unternehmenszertifizierungsstelle möglicherweise nur wichtige Informationen. Die restlichen Informationen werden automatisch von der Zertifizierungsstelle abgerufen. Eine eigenständige Zertifizierungsstelle wird dies nicht tun, da ihr die Informationsquelle fehlt. Die Anfrage muss buchstäblich vollständig sein.
Da eigenständige Zertifizierungsstellen keine Zertifikatvorlagen verwenden, muss jede Anforderung von einem Zertifizierungsstellenmanager manuell überprüft werden, um sicherzustellen, dass die Anforderung keine gefährlichen Informationen enthält.
Da für eigenständige Zertifizierungsstellen kein Active Directory erforderlich ist, sind diese Funktionen für diesen CA-Typ deaktiviert.
Obwohl es so aussieht, als wäre Standalone CA eine Sackgasse, ist dies nicht der Fall. Unternehmenszertifizierungsstellen eignen sich am besten zum Ausstellen von Zertifikaten an Endentitäten (Benutzer, Geräte) und sind für Szenarien mit hohem Volumen und geringen Kosten konzipiert.
Auf der anderen Seite eignen sich eigenständige Zertifizierungsstellen am besten für Scnearios mit geringem Volumen und hohen Kosten, einschließlich Offline-Scnearios. Im Allgemeinen werden eigenständige Zertifizierungsstellen als Stamm- und Richtlinienzertifizierungsstelle verwendet und stellen Zertifikate nur an andere Zertifizierungsstellen aus. Da die Zertifikataktivität recht gering ist, können Sie die eigenständige Zertifizierungsstelle für einen angemessenen Zeitraum (6 bis 12 Monate) offline halten und nur aktivieren, um eine neue CRL auszustellen oder ein neues untergeordnetes Zertifizierungsstellenzertifikat zu signieren. Indem Sie es offline halten, verbessern Sie die Schlüsselsicherheit. Best Practices empfehlen, niemals eigenständige Zertifizierungsstellen an ein Netzwerk anzuschließen und eine gute physische Sicherheit zu gewährleisten.
Bei der Implementierung einer unternehmensweiten PKI sollten Sie sich auf einen zweistufigen PKI-Ansatz mit einer eigenständigen Offline-Stammzertifizierungsstelle und einer untergeordneten Online-Zertifizierungsstelle konzentrieren, die in Ihrem Active Directory ausgeführt werden.
Offensichtlich ist die AD-Integration, wie Sie bereits erwähnt haben, eine große. Einen kurzen Vergleich finden Sie hier . Der Autor fasst die Unterschiede wie folgt zusammen:
Computer in einer Domäne vertrauen automatisch Zertifikaten, die von Unternehmenszertifizierungsstellen ausgestellt werden. Bei eigenständigen Zertifizierungsstellen müssen Sie Gruppenrichtlinien verwenden, um das selbstsignierte Zertifikat der Zertifizierungsstelle zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf jedem Computer in der Domäne hinzuzufügen. Mit Unternehmenszertifizierungsstellen können Sie auch das Anfordern und Installieren von Zertifikaten für Computer automatisieren. Wenn auf einem Windows Server 2003 Enterprise Edition-Server eine Unternehmenszertifizierungsstelle ausgeführt wird, können Sie mit der Funktion zur automatischen Registrierung sogar die Zertifikatregistrierung für Benutzer automatisieren.
Die Unternehmenszertifizierungsstelle bietet Unternehmen Nützlichkeit (erfordert jedoch Zugriff auf Active Directory-Domänendienste):
Der Name des Zertifikatssubjekts kann automatisch aus den Informationen in AD DS generiert oder vom Anforderer explizit angegeben werden.
Weitere Informationen zu Standalone- und Enterprise ADCS-Zertifizierungsstellen.