这是一个典型问题关于不同类型的 Microsoft 证书颁发机构
我正在寻找有关 Microsoft ADCS Enterprise CA 和 Standalone CA 之间的差异的信息?
何时何地我应该使用每种 CA 类型?我尝试用 Google 搜索这个问题,只找到一个答案,即独立 CA 不支持 Active Directory。在选择 CA 之前我应该考虑什么?
答案1
独立 CA 和企业 CA 之间存在显著差异,并且各自都有其使用场景。
企业 CA
此类 CA 具有以下特点:
- 与 Active Directory 紧密集成
当您在 AD 林中安装企业 CA 时,它会自动发布到 AD,并且每个 AD 林成员可以立即与 CA 通信以请求证书。
- 证书模板
证书模板允许企业根据用途或其他因素对颁发的证书进行标准化。管理员配置所需的证书模板(使用适当的设置)并将其提交给 CA 进行颁发。兼容的接收者不必费心手动生成请求,CryptoAPI 平台将自动准备正确的证书请求,将其提交给 CA 并检索颁发的证书。如果某些请求属性无效,CA 将使用证书模板或 Active Directory 中的正确值覆盖它们。
- 证书自动注册
是 Enterprise CA 的一项杀手级功能。自动注册允许自动注册已配置模板的证书。无需用户交互,一切都自动发生(当然,自动注册需要初始配置)。
- 关键档案
此功能被系统管理员低估了,但作为用户加密证书的备份源却非常有价值。如果私钥丢失,可以在必要时从 CA 数据库中恢复。否则,您将无法访问加密内容。
独立 CA
此类 CA 无法利用企业 CA 提供的功能。即:
- 没有证书模板
这意味着每个请求都必须手动准备,并且必须包含证书中所需的所有信息。根据证书模板设置,企业 CA 可能只需要关键信息,其余信息将由 CA 自动检索。独立 CA 不会这样做,因为它缺乏信息源。请求必须是完整的。
- 手动证书请求批准
由于独立 CA 不使用证书模板,因此每个请求都必须由 CA 管理员手动验证,以确保请求不包含危险信息。
- 无自动注册,无密钥存档
由于独立 CA 不需要 Active Directory,因此这些功能对于此类 CA 是禁用的。
概括
尽管看起来独立 CA 是一条死路,但事实并非如此。企业 CA 最适合向最终实体(用户、设备)颁发证书,并且专为“高容量、低成本”场景而设计。
另一方面,独立 CA 最适合“低容量、高成本”的场景,包括离线场景。通常,独立 CA 用作根 CA 和策略 CA,它们只向其他 CA 颁发证书。由于证书活动非常少,您可以将独立 CA 保持离线状态相当长一段时间(6-12 个月),并仅在颁发新 CRL 或签署新的下属 CA 证书时打开。通过使其保持离线状态,您可以增强其密钥安全性。最佳实践建议永远不要将独立 CA 连接到任何网络并提供良好的物理安全性。
在实施企业范围的 PKI 时,您应该专注于 2 层 PKI 方法,即在您的 Active Directory 中运行的离线独立根 CA 和在线企业从属 CA。
答案2
显然,正如您提到的,AD 集成是一个很大的问题。您可以找到一个简短的比较这里笔者将差异总结如下:
域中的计算机会自动信任企业 CA 颁发的证书。使用独立 CA,您必须使用组策略将 CA 的自签名证书添加到域中每台计算机上的受信任根 CA 存储中。企业 CA 还允许您自动执行计算机的证书申请和安装过程,如果您的企业 CA 在 Windows Server 2003 Enterprise Edition 服务器上运行,您甚至可以使用自动注册功能自动为用户注册证书。
答案3
企业 CA 为企业提供了实用性(但需要访问 Active Directory 域服务):