Ada perbedaan yang signifikan antara Standalone dan Enterprise CA dan masing-masing memiliki skenario penggunaannya.
CA Perusahaan
Jenis CA ini menawarkan fitur-fitur berikut:
- integrasi yang erat dengan Active Directory
Ketika Anda menginstal Enterprise CA di hutan AD, itu diterbitkan secara otomatis ke AD dan setiap memeber hutan AD dapat segera berkomunikasi dengan CA untuk meminta sertifikat.
Template sertifikat memungkinkan perusahaan untuk standatize sertifikat yang dikeluarkan oleh penggunaannya atau apa pun lainnya. Administrator mengkonfigurasi templat sertifikat yang diperlukan (dengan pengaturan yang sesuai) dan menempatkannya ke CA untuk diterbitkan. Penerima yang kompatibel tidak perlu repot dengan pembuatan permintaan manual, platform CryptoAPI akan secara otomatis menyiapkan permintaan sertifikat yang benar, mengirimkannya ke CA dan mengambil sertifikat yang dikeluarkan. Jika beberapa properti permintaan tidak valid, CA akan menimpanya dengan nilai yang benar dari templat sertifikat atau Direktori Aktif.
adalah fitur pembunuh Enterprise CA. Autoenrollment memungkinkan untuk secara otomatis mendaftarkan sertifikat untuk templat yang dikonfigurasi. Tidak diperlukan interaksi pengguna, semuanya terjadi secara otomatis (tentu saja, autenrollment memerlukan konfigurasi awal).
fitur ini diremehkan oleh administrator sistem, tetapi sangat berharga sebagai sumber cadangan untuk sertifikat enkripsi pengguna. Jika kunci pribadi hilang, itu dapat dipulihkan dari basis data CA jika perlu. Jika tidak, Anda akan kehilangan akses ke konten terenkripsi Anda.
Standalone CA
Jenis CA ini tidak dapat memanfaatkan fitur yang disediakan oleh CA Perusahaan. Itu adalah:
- Tidak ada templat sertifikat
ini berarti bahwa setiap permintaan harus disiapkan secara manual dan harus menyertakan semua informasi yang diperlukan untuk dimasukkan dalam sertifikat. Bergantung pada pengaturan templat sertifikat, Enterprise CA mungkin hanya memerlukan informasi kunci, info lainnya akan diambil secara otomatis oleh CA. Standalone CA tidak akan melakukan itu, karena kekurangan sumber informasi. Permintaan harus lengkap secara harfiah.
- persetujuan permintaan sertifikat manual
Karena Standalone CA tidak menggunakan templat sertifikat, setiap permintaan harus diverifikasi secara manual oleh manajer CA untuk memastikan bahwa permintaan tersebut tidak mengandung informasi berbahaya.
- tidak ada autoenrollment, tidak ada arsip kunci
Karena Standalone CA tidak memerlukan Active Directory, fitur ini dinonaktifkan untuk jenis CA ini.
Ringkasan
Meskipun, ini mungkin terlihat bahwa Standalone CA adalah jalan buntu, tidak. CA Enterprise paling cocok untuk mengeluarkan sertifikat ke entitas akhir (pengguna, perangkat) dan dirancang untuk skenario "volume tinggi, biaya rendah".
Di sisi lain, Standalone CAs paling cocok untuk skenario "volume rendah, biaya tinggi", termasuk yang offline. Umumnya CA Standalone digunakan untuk bertindak sebagai Root dan Policy CA dan mereka mengeluarkan sertifikat hanya untuk CA lainnya. Karena aktivitas sertifikat sangat rendah, Anda dapat membuat Standalone CA offline untuk waktu yang wajar (6-12 bulan) dan hanya aktif untuk mengeluarkan CRL baru atau menandatangani sertifikat CA bawahan baru. Dengan membuatnya offline, Anda meningkatkan keamanan utamanya. Praktik terbaik menyarankan untuk tidak pernah memasang CA Standalone ke jaringan apa pun dan memberikan keamanan fisik yang baik.
Saat menerapkan PKI di seluruh perusahaan, Anda harus fokus pada pendekatan 2-tingkat PKI dengan CA Standalone Root dan CA Subordinate Enterprise online yang akan beroperasi di Active Directory Anda.