Il existe une différence significative entre les autorités de certification autonomes et d'entreprise et chacune a son scénario d'utilisation.
Autorités de certification d'entreprise
Ce type d'autorités de certification offre les fonctionnalités suivantes:
- intégration étroite avec Active Directory
Lorsque vous installez Enterprise CA dans la forêt AD, il est automatiquement publié dans AD et chaque membre de la forêt AD peut immédiatement communiquer avec l'autorité de certification pour demander des certificats.
Les modèles de certificats permettent aux entreprises de normaliser les certificats émis en fonction de leurs usages ou de tout autre élément. Les administrateurs configurent les modèles de certificats requis (avec les paramètres appropriés) et les mettent à CA pour émission. Les destinataires compatibles n'ont pas à se soucier de la génération manuelle de demandes, la plateforme CryptoAPI préparera automatiquement la demande de certificat correcte, la soumettra à l'autorité de certification et récupérera le certificat émis. Si certaines propriétés de demande ne sont pas valides, CA les remplacera par les valeurs correctes du modèle de certificat ou d'Active Directory.
- inscription automatique de certificat
est une fonctionnalité qui tue d'Enterprise CA. L'inscription automatique permet d'inscrire automatiquement des certificats pour les modèles configurés. Aucune interaction utilisateur n'est requise, tout se fait automatiquement (bien sûr, l'inscription automatique nécessite une configuration initiale).
cette fonctionnalité est sous-estimée par les administrateurs système, mais est extrêmement précieuse comme source de sauvegarde pour les certificats de chiffrement des utilisateurs. Si la clé privée est perdue, elle peut être récupérée de la base de données CA si nécessaire. Sinon, vous perdrez l'accès à votre contenu crypté.
CA autonome
Ce type de CA ne peut pas utiliser les fonctionnalités fournies par les CA d'entreprise. C'est:
- Aucun modèle de certificat
cela signifie que chaque demande doit être préparée manuellement et doit inclure toutes les informations requises pour être incluses dans le certificat. Selon les paramètres du modèle de certificat, l'autorité de certification d'entreprise peut ne nécessiter que des informations clés, les informations de repos seront automatiquement récupérées par l'autorité de certification. L'autorité de certification autonome ne le fera pas, car elle manque de source d'informations. La demande doit être littéralement complète.
- approbation manuelle de la demande de certificat
Étant donné que l'autorité de certification autonome n'utilise pas de modèles de certificat, chaque demande doit être vérifiée manuellement par un gestionnaire d'autorité de certification pour garantir que la demande ne contient pas d'informations dangereuses.
- pas d'inscription automatique, pas d'archivage des clés
Étant donné que l'autorité de certification autonome ne nécessite pas Active Directory, ces fonctionnalités sont désactivées pour ce type d'autorités de certification.
Sommaire
Bien qu'il puisse sembler que CA autonome est une impasse, ce n'est pas le cas. Les autorités de certification d'entreprise sont les mieux adaptées pour délivrer des certificats aux entités finales (utilisateurs, appareils) et sont conçues pour des scénarios «à haut volume et à faible coût».
D'un autre côté, les autorités de certification autonomes conviennent le mieux aux scnearios «à faible volume et à coût élevé», y compris ceux hors ligne. Généralement, les autorités de certification autonomes sont utilisées pour agir en tant qu'autorité de certification racine et politique et elles n'émettent des certificats qu'aux autres autorités de certification. Étant donné que l'activité des certificats est assez faible, vous pouvez garder CA autonome hors ligne pendant une durée raisonnable (6 à 12 mois) et l'activer uniquement pour émettre une nouvelle CRL ou signer un nouveau certificat de CA subordonné. En le gardant hors ligne, vous améliorez sa sécurité des clés. Les meilleures pratiques suggèrent de ne jamais associer d'autorités de certification autonomes à un réseau et de fournir une bonne sécurité physique.
Lors de la mise en œuvre d'une infrastructure PKI à l'échelle de l'entreprise, vous devez vous concentrer sur une approche PKI à deux niveaux avec une autorité de certification racine autonome hors ligne et une autorité de certification subordonnée d'entreprise en ligne qui fonctionnera dans votre Active Directory.