这是关于不同types的Microsoft证书颁发机构的规范问题
我正在寻找有关Microsoft ADCS Enterprise CA和独立CA之间区别的信息?
何时何地我应该使用每种CAtypes? 我试图谷歌这个问题,发现只有一个答案独立CA不享受Active Directory。 在select之前我应该考虑什么?
独立和企业CA之间有显着的区别,每个CA都有其使用场景。
这种types的CA提供以下function:
在AD森林中安装企业CA时,会自动发布到AD,每个AD林记分员可以立即与CA通信以请求证书。
证书模板允许企业通过其使用或其他任何方式对已颁发的证书进行标准化。 pipe理员configuration所需的证书模板(使用适当的设置)并将其发送到CA进行颁发。 兼容的收件人不必费心手动生成请求,CryptoAPI平台将自动准备正确的证书请求,提交给CA并检索颁发的证书。 如果某些请求属性无效,CA将使用来自证书模板或Active Directory的正确值覆盖它们。
是企业CA的杀手锏。 自动注册允许自动注册已configuration模板的证书。 没有用户交互是必需的,一切都自动发生(当然,自动注册需要初始configuration)。
这个function被系统pipe理员低估了,但作为用户encryption证书的备份源是非常有价值的。 如果私钥丢失,必要时可以从CA数据库中恢复。 否则,您将无法访问您的encryption内容。
这种types的CA不能利用企业CA提供的function。 那是:
这意味着每个请求都必须手动准备,并且必须包含所有必需的信息才能包含在证书中。 根据证书模板设置,企业CA可能只需要关键信息,其余信息将由CA自动检索。 独立CA不会这样做,因为它缺less信息源。 请求必须字面上完整。
由于独立CA不使用证书模板,因此每个请求都必须由CApipe理员手动validation,以确保请求不包含危险信息。
由于独立CA不需要Active Directory,因此对于此types的CA禁用这些function。
虽然,看起来独立CA是死路一条,但事实并非如此。 企业CA最适合向terminal实体(用户,设备)颁发证书,并针对“大批量,低成本”的情况而devise。
另一方面,独立CA最适合“低成本,高成本”的场合,包括离线场景。 通常,独立CA被用作根和策略CA,并且只向其他CA颁发证书。 由于证书活动非常低,您可以使独立CA在相当长的时间(6-12个月)内保持脱机状态,并且只打开新的CRL或签署新的从属CA证书。 通过保持离线状态,可以提高关键安全性。 最佳实践build议不要将独立CA连接到任何networking,并提供良好的物理安全性。
在实施企业范围内的PKI时,您应该将注意力集中在带有脱机独立根CA和在线企业从属CA的2层PKI方法中,该方法将在Active Directory中运行。
显然,你已经提到的AD整合是一个很大的问题。 你可以在这里find一个简要的比较。 作者总结了这些差异如下:
域中的计算机自动信任企业CA颁发的证书。 对于独立的CA,您必须使用组策略将CA的自签名证书添加到域中每台计算机上的“受信任的根CA”存储中。 企业CA还允许您自动执行请求和安装计算机证书的过程,如果您在Windows Server 2003 Enterprise Edition服务器上运行企业CA,则甚至可以为具有自动注册function的用户自动执行证书注册。
企业CA为企业提供了实用性(但需要访问Active Directory域服务):
证书主体名称可以从AD DS中的信息自动生成或由请求者明确提供。
有关独立和企业 ADCS CA的更多信息