Il s'agit d'une question canonique sur les différents types d'autorité de certification Microsoft
Je recherche des informations sur la différence entre Microsoft ADCS Enterprise CA et CA autonome?
Quand et où dois-je utiliser chaque type d'autorité de certification? J'ai essayé de google cette question et trouvé une seule réponse que CA autonome ne bénéficie pas d'Active Directory. Que dois-je prendre en considération avant d'en choisir un?
Réponses:
Il existe une différence significative entre les autorités de certification autonomes et d'entreprise et chacune a son scénario d'utilisation.
Ce type d'autorités de certification offre les fonctionnalités suivantes:
Lorsque vous installez Enterprise CA dans la forêt AD, il est automatiquement publié dans AD et chaque membre de la forêt AD peut immédiatement communiquer avec l'autorité de certification pour demander des certificats.
Les modèles de certificats permettent aux entreprises de normaliser les certificats émis en fonction de leurs usages ou de tout autre élément. Les administrateurs configurent les modèles de certificats requis (avec les paramètres appropriés) et les mettent à CA pour émission. Les destinataires compatibles n'ont pas à se soucier de la génération manuelle de demandes, la plateforme CryptoAPI préparera automatiquement la demande de certificat correcte, la soumettra à l'autorité de certification et récupérera le certificat émis. Si certaines propriétés de demande ne sont pas valides, CA les remplacera par les valeurs correctes du modèle de certificat ou d'Active Directory.
est une fonctionnalité qui tue d'Enterprise CA. L'inscription automatique permet d'inscrire automatiquement des certificats pour les modèles configurés. Aucune interaction utilisateur n'est requise, tout se fait automatiquement (bien sûr, l'inscription automatique nécessite une configuration initiale).
cette fonctionnalité est sous-estimée par les administrateurs système, mais est extrêmement précieuse comme source de sauvegarde pour les certificats de chiffrement des utilisateurs. Si la clé privée est perdue, elle peut être récupérée de la base de données CA si nécessaire. Sinon, vous perdrez l'accès à votre contenu crypté.
Ce type de CA ne peut pas utiliser les fonctionnalités fournies par les CA d'entreprise. C'est:
cela signifie que chaque demande doit être préparée manuellement et doit inclure toutes les informations requises pour être incluses dans le certificat. Selon les paramètres du modèle de certificat, l'autorité de certification d'entreprise peut ne nécessiter que des informations clés, les informations de repos seront automatiquement récupérées par l'autorité de certification. L'autorité de certification autonome ne le fera pas, car elle manque de source d'informations. La demande doit être littéralement complète.
Étant donné que l'autorité de certification autonome n'utilise pas de modèles de certificat, chaque demande doit être vérifiée manuellement par un gestionnaire d'autorité de certification pour garantir que la demande ne contient pas d'informations dangereuses.
Étant donné que l'autorité de certification autonome ne nécessite pas Active Directory, ces fonctionnalités sont désactivées pour ce type d'autorités de certification.
Bien qu'il puisse sembler que CA autonome est une impasse, ce n'est pas le cas. Les autorités de certification d'entreprise sont les mieux adaptées pour délivrer des certificats aux entités finales (utilisateurs, appareils) et sont conçues pour des scénarios «à haut volume et à faible coût».
D'un autre côté, les autorités de certification autonomes conviennent le mieux aux scnearios «à faible volume et à coût élevé», y compris ceux hors ligne. Généralement, les autorités de certification autonomes sont utilisées pour agir en tant qu'autorité de certification racine et politique et elles n'émettent des certificats qu'aux autres autorités de certification. Étant donné que l'activité des certificats est assez faible, vous pouvez garder CA autonome hors ligne pendant une durée raisonnable (6 à 12 mois) et l'activer uniquement pour émettre une nouvelle CRL ou signer un nouveau certificat de CA subordonné. En le gardant hors ligne, vous améliorez sa sécurité des clés. Les meilleures pratiques suggèrent de ne jamais associer d'autorités de certification autonomes à un réseau et de fournir une bonne sécurité physique.
Lors de la mise en œuvre d'une infrastructure PKI à l'échelle de l'entreprise, vous devez vous concentrer sur une approche PKI à deux niveaux avec une autorité de certification racine autonome hors ligne et une autorité de certification subordonnée d'entreprise en ligne qui fonctionnera dans votre Active Directory.
De toute évidence, l'intégration AD, comme vous l'avez déjà mentionné, est importante. Vous pouvez trouver une brève comparaison ici . L'auteur résume les différences comme suit:
Les ordinateurs d'un domaine approuvent automatiquement les certificats émis par les autorités de certification d'entreprise. Avec les autorités de certification autonomes, vous devez utiliser la stratégie de groupe pour ajouter le certificat auto-signé de l'autorité de certification au magasin des autorités de certification racines de confiance sur chaque ordinateur du domaine. Les autorités de certification d'entreprise vous permettent également d'automatiser le processus de demande et d'installation de certificats pour les ordinateurs, et si vous avez une autorité de certification d'entreprise exécutée sur un serveur Windows Server 2003 Enterprise Edition, vous pouvez même automatiser l'inscription de certificats pour les utilisateurs avec la fonction d'inscription automatique.
Enterprise CA offre une utilité aux entreprises (mais nécessite un accès aux services de domaine Active Directory):
Le nom du sujet du certificat peut être généré automatiquement à partir des informations dans AD DS ou fourni explicitement par le demandeur.
Plus d'informations sur CA ADCS autonome et d' entreprise .