Это канонический вопрос о различных типах центров сертификации Microsoft
Я ищу информацию о различиях между Microsoft ADCS Enterprise CA и Standalone CA?
Когда и где я должен использовать каждый тип CA? Я попытался погуглить этот вопрос и нашел только один ответ, что автономный центр сертификации не поддерживает Active Directory. На что следует обратить внимание, прежде чем выбирать?
Между автономными и корпоративными центрами сертификации существует значительная разница, и у каждого из них есть свой сценарий использования.
Этот тип центров сертификации предлагает следующие функции:
Когда вы устанавливаете ЦС предприятия в лесу AD, он автоматически публикуется в AD, и каждый член леса AD может немедленно связаться с ЦС для запроса сертификатов.
Шаблоны сертификатов позволяют предприятиям стандартизировать выданные сертификаты по их использованию или чему-то еще. Администраторы настраивают необходимые шаблоны сертификатов (с соответствующими настройками) и отправляют их в ЦС для выдачи. Совместимым получателям не нужно беспокоиться о создании запроса вручную, платформа CryptoAPI автоматически подготовит правильный запрос сертификата, отправит его в ЦС и получит выпущенный сертификат. Если некоторые свойства запроса недействительны, CA заменит их правильными значениями из шаблона сертификата или Active Directory.
это убийственная особенность Enterprise CA. Автоматическая подача заявок позволяет автоматически регистрировать сертификаты для настроенных шаблонов. Никакого взаимодействия с пользователем не требуется, все происходит автоматически (конечно, для автоматической регистрации требуется первоначальная настройка).
эта функция недооценена системными администраторами, но она чрезвычайно ценна в качестве резервного источника для пользовательских сертификатов шифрования. Если закрытый ключ утерян, при необходимости его можно восстановить из базы данных ЦС. В противном случае вы потеряете доступ к своему зашифрованному контенту.
Этот тип ЦС не может использовать функции, предоставляемые ЦС предприятия. То есть:
это означает, что каждый запрос должен быть подготовлен вручную и должен включать всю необходимую информацию, которая должна быть включена в сертификат. В зависимости от настроек шаблона сертификата, Enterprise CA может потребоваться только ключевая информация, остальная информация будет автоматически получена CA. Автономный ЦС этого не сделает, потому что у него нет источника информации. Запрос должен быть буквально полным.
Поскольку автономный ЦС не использует шаблоны сертификатов, каждый запрос должен вручную проверяться менеджером ЦС, чтобы убедиться, что запрос не содержит опасной информации.
Поскольку для автономного центра сертификации Active Directory не требуется, эти функции отключены для этого типа центров сертификации.
Хотя может показаться, что автономный центр сертификации - это тупик, на самом деле это не так. Корпоративные центры сертификации лучше всего подходят для выдачи сертификатов конечным объектам (пользователям, устройствам) и предназначены для сценариев «большого объема по низкой цене».
С другой стороны, автономные центры сертификации лучше всего подходят для сред с низким объемом и высокой стоимостью, включая автономные. Обычно автономные центры сертификации используются в качестве корневого центра сертификации и центра сертификации политики и выдают сертификаты только другим центрам сертификации. Поскольку активность сертификатов довольно низкая, вы можете оставить автономный ЦС в автономном режиме в течение разумно длительного времени (6–12 месяцев) и включать его только для выдачи нового CRL или подписания нового сертификата подчиненного ЦС. Сохраняя его в автономном режиме, вы повышаете его ключевую безопасность. Передовой опыт рекомендует никогда не подключать автономные центры сертификации к какой-либо сети и обеспечивать хорошую физическую безопасность.
При внедрении PKI в масштабах предприятия следует сосредоточиться на двухуровневом подходе PKI с автономным автономным корневым ЦС и интерактивным корпоративным подчиненным ЦС, которые будут работать в вашей Active Directory.
Очевидно, что интеграция AD, как вы уже упомянули, очень важна. Вы можете найти краткое сравнение Вот. Автор резюмирует различия следующим образом:
Компьютеры в домене автоматически доверяют сертификатам, выдаваемым центрами сертификации предприятия. При использовании автономных центров сертификации необходимо использовать групповую политику, чтобы добавить самозаверяющий сертификат центра сертификации в хранилище доверенных корневых центров сертификации на каждом компьютере в домене. Центры сертификации предприятия также позволяют автоматизировать процесс запроса и установки сертификатов для компьютеров, а если у вас есть центр сертификации предприятия, работающий на сервере Windows Server 2003 Enterprise Edition, вы даже можете автоматизировать регистрацию сертификатов для пользователей с помощью функции автоматической регистрации.
Корпоративный центр сертификации полезен для предприятий (но требует доступа к доменным службам Active Directory):
Имя субъекта сертификата может быть автоматически сгенерировано из информации в AD DS или явно предоставлено запрашивающей стороной.
Подробнее о Автономный и Предприятие ADCS CA.