Perbedaan antara Microsoft ADCS Standalone CA dan Enterprise CA


10

Ini adalah pertanyaan kanonik tentang berbagai jenis Otoritas Sertifikat Microsoft

Saya mencari informasi tentang perbedaan antara Microsoft ADCS Enterprise CA dan Standalone CA?

Kapan dan di mana saya harus menggunakan setiap jenis CA? Saya mencoba google pertanyaan ini dan hanya menemukan satu jawaban bahwa Standalone CA tidak menikmati Active Directory. Apa yang harus saya pertimbangkan sebelum memilih satu?

Jawaban:


13

Ada perbedaan yang signifikan antara Standalone dan Enterprise CA dan masing-masing memiliki skenario penggunaannya.

CA Perusahaan

Jenis CA ini menawarkan fitur-fitur berikut:

  • integrasi yang erat dengan Active Directory

Ketika Anda menginstal Enterprise CA di hutan AD, itu diterbitkan secara otomatis ke AD dan setiap memeber hutan AD dapat segera berkomunikasi dengan CA untuk meminta sertifikat.

  • templat sertifikat

Template sertifikat memungkinkan perusahaan untuk standatize sertifikat yang dikeluarkan oleh penggunaannya atau apa pun lainnya. Administrator mengkonfigurasi templat sertifikat yang diperlukan (dengan pengaturan yang sesuai) dan menempatkannya ke CA untuk diterbitkan. Penerima yang kompatibel tidak perlu repot dengan pembuatan permintaan manual, platform CryptoAPI akan secara otomatis menyiapkan permintaan sertifikat yang benar, mengirimkannya ke CA dan mengambil sertifikat yang dikeluarkan. Jika beberapa properti permintaan tidak valid, CA akan menimpanya dengan nilai yang benar dari templat sertifikat atau Direktori Aktif.

  • pengesahan sertifikat

adalah fitur pembunuh Enterprise CA. Autoenrollment memungkinkan untuk secara otomatis mendaftarkan sertifikat untuk templat yang dikonfigurasi. Tidak diperlukan interaksi pengguna, semuanya terjadi secara otomatis (tentu saja, autenrollment memerlukan konfigurasi awal).

  • Arsip Kunci

fitur ini diremehkan oleh administrator sistem, tetapi sangat berharga sebagai sumber cadangan untuk sertifikat enkripsi pengguna. Jika kunci pribadi hilang, itu dapat dipulihkan dari basis data CA jika perlu. Jika tidak, Anda akan kehilangan akses ke konten terenkripsi Anda.

Standalone CA

Jenis CA ini tidak dapat memanfaatkan fitur yang disediakan oleh CA Perusahaan. Itu adalah:

  • Tidak ada templat sertifikat

ini berarti bahwa setiap permintaan harus disiapkan secara manual dan harus menyertakan semua informasi yang diperlukan untuk dimasukkan dalam sertifikat. Bergantung pada pengaturan templat sertifikat, Enterprise CA mungkin hanya memerlukan informasi kunci, info lainnya akan diambil secara otomatis oleh CA. Standalone CA tidak akan melakukan itu, karena kekurangan sumber informasi. Permintaan harus lengkap secara harfiah.

  • persetujuan permintaan sertifikat manual

Karena Standalone CA tidak menggunakan templat sertifikat, setiap permintaan harus diverifikasi secara manual oleh manajer CA untuk memastikan bahwa permintaan tersebut tidak mengandung informasi berbahaya.

  • tidak ada autoenrollment, tidak ada arsip kunci

Karena Standalone CA tidak memerlukan Active Directory, fitur ini dinonaktifkan untuk jenis CA ini.

Ringkasan

Meskipun, ini mungkin terlihat bahwa Standalone CA adalah jalan buntu, tidak. CA Enterprise paling cocok untuk mengeluarkan sertifikat ke entitas akhir (pengguna, perangkat) dan dirancang untuk skenario "volume tinggi, biaya rendah".

Di sisi lain, Standalone CAs paling cocok untuk skenario "volume rendah, biaya tinggi", termasuk yang offline. Umumnya CA Standalone digunakan untuk bertindak sebagai Root dan Policy CA dan mereka mengeluarkan sertifikat hanya untuk CA lainnya. Karena aktivitas sertifikat sangat rendah, Anda dapat membuat Standalone CA offline untuk waktu yang wajar (6-12 bulan) dan hanya aktif untuk mengeluarkan CRL baru atau menandatangani sertifikat CA bawahan baru. Dengan membuatnya offline, Anda meningkatkan keamanan utamanya. Praktik terbaik menyarankan untuk tidak pernah memasang CA Standalone ke jaringan apa pun dan memberikan keamanan fisik yang baik.

Saat menerapkan PKI di seluruh perusahaan, Anda harus fokus pada pendekatan 2-tingkat PKI dengan CA Standalone Root dan CA Subordinate Enterprise online yang akan beroperasi di Active Directory Anda.


1

Jelas integrasi AD seperti yang telah Anda sebutkan adalah yang besar. Anda dapat menemukan perbandingan singkat di sini . Penulis merangkum perbedaan sebagai berikut:

Komputer dalam domain secara otomatis mempercayai sertifikat yang dikeluarkan CA perusahaan. Dengan CA mandiri, Anda harus menggunakan Kebijakan Grup untuk menambahkan sertifikat yang ditandatangani sendiri CA ke toko CA Root Tepercaya di setiap komputer dalam domain. Enterprise CA juga memungkinkan Anda mengotomatiskan proses meminta dan menginstal sertifikat untuk komputer, dan jika Anda memiliki CA perusahaan yang berjalan pada server Windows Server 2003 Enterprise Edition, Anda bahkan dapat mengotomatiskan pendaftaran sertifikat untuk pengguna dengan fitur pendaftaran otomatis.


Sayangnya, penulis dalam artikel yang dirujuk salah. Saat memasang Standalone Root CA dengan akun domain, sertifikat CA diterbitkan ke Active Directory. Maaf, tidak dapat memposting jawaban di sini.
Crypt32

@ Crypt32 Anda sepertinya berada di posisi yang tepat untuk menjawab pertanyaan, mengapa Anda tidak dapat mengirim di sana?
yagmoth555

1
Karena ditutup pada saat itu.
Crypt32

0

Enterprise CA memberikan manfaat bagi perusahaan (tetapi membutuhkan akses ke Layanan Domain Direktori Aktif):

  • Menggunakan Kebijakan Grup untuk menyebarkan sertifikatnya ke toko sertifikat Otoritas Sertifikasi Akar Tepercaya untuk semua pengguna dan komputer di domain.
  • Menerbitkan sertifikat pengguna dan daftar pencabutan sertifikat (CRL) ke AD DS. Untuk menerbitkan sertifikat ke AD DS, server tempat CA diinstal harus menjadi anggota grup Penerbit Sertifikat. Ini otomatis untuk domain tempat server berada, tetapi server harus mendelegasikan izin keamanan yang tepat untuk menerbitkan sertifikat di domain lain.
  • Perusahaan CA menegakkan pemeriksaan kredensial pada pengguna selama pendaftaran sertifikat. Setiap templat sertifikat memiliki izin keamanan yang ditetapkan dalam AD DS yang menentukan apakah pemohon sertifikat berwenang untuk menerima jenis sertifikat yang mereka minta.
  • Nama subjek sertifikat dapat dihasilkan secara otomatis dari informasi dalam AD DS atau diberikan secara eksplisit oleh pemohon.

    Info lebih lanjut tentang Stand-alone dan Enterprise ADCS CA.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.