Microsoft ADCS独立CA与企业CA的区别

Question

这是一个关于不同类型的Microsoft证书颁发机构的典型问题

我在寻找有关Microsoft ADCS企业CA和独立CA之间区别的信息吗？

我应该何时何地使用每种CA类型？我尝试谷歌这个问题，发现只有一个答案，独立的CA不喜欢Active Directory。在选择之前我应该考虑什么？

Answer 1

独立CA和Enterprise之间有显著的差异，而且每个CA都有自己的使用场景。

企业CA

这种类型的CA提供以下特性：

• 与Active的紧密集成

当您在AD林中安装Enterprise时，它会自动发布到AD中，每个AD林备忘录都可以立即与CA通信以请求证书。

• 证书模板

证书模板允许企业按其使用或其他方式将颁发的证书标准化。管理员配置所需的证书模板(具有适当的设置)，并将它们交给CA颁发。兼容的接收方不必费心手工生成请求，CryptoAPI平台将自动准备正确的证书请求，提交给CA并检索颁发的证书。如果某些请求属性无效，CA将使用证书模板或Active中的正确值覆盖它们。

• 证书自动注册

是Enterprise的一个致命特性。自动注册允许自动注册配置模板的证书。不需要用户交互，一切都会自动发生(当然，自动注册需要初始配置)。

• 关键档案

这个特性被系统管理员低估了，但是作为用户加密证书的备份源却是非常有价值的。如果私钥丢失，则可以根据需要从CA数据库中恢复私钥。否则，您将失去对加密内容的访问权限。

独立CA

这种类型的CA不能利用Enterprise提供的特性。这就是：

• 没有证书模板

这意味着每个请求都必须手动准备，并且必须包括所有需要包含在证书中的信息。根据证书模板设置，企业CA可能只需要密钥信息，其余信息将由CA自动检索。独立CA不会这样做，因为它缺乏信息来源。请求必须是完全完整的。

• 手动证书申请批准

由于独立CA不使用证书模板，因此每个请求都必须由CA管理器手动验证，以确保请求不包含危险信息。

• 没有自动注册，没有密钥存档

由于独立CA不需要Active，因此这种类型的CA禁用了这些功能。

摘要

虽然，独立CA看起来可能是一个死胡同，但它并不是。企业CA最适合向终端实体(用户、设备)颁发证书，并且是为“高容量、低成本”的场景设计的。

另一方面，独立CA最适合“低容量、高成本”的scnearios，包括脱机CAs。通常，独立CA用作根和策略CA，它们只向其他CA颁发证书。由于证书活动非常低，您可以使独立CA脱机相当长的时间(6-12个月)，并且只打开以颁发新的CRL或签署新的从属CA证书。通过使其保持脱机，可以增强其密钥安全性。最佳实践建议永远不要在任何网络上附加独立CA，并提供良好的物理安全。

在实现企业范围内的PKI时，您应该将重点放在具有脱机独立根CA和在线企业从属CA的两层PKI方法上，这两种方法将在您的Active中运行。

Answer 2

显然，正如您已经提到的那样，AD集成是一个很大的集成。您可以找到一个简短的比较这里。作者将这些差异归纳如下：

域中的计算机自动信任企业CA颁发的证书。使用独立CA时，必须使用组策略将CA的自签名证书添加到域中每台计算机上的受信任根CA存储区。企业CA还允许您自动为计算机请求和安装证书，如果在Windows server 2003 Enterprise Edition服务器上运行企业CA，甚至可以使用自动注册功能自动为用户注册证书。

Answer 3

Enterprise为企业提供有用性(但需要访问Active域服务)：

• 使用组策略将其证书传播到域中所有用户和计算机的受信任根证书颁发机构证书存储区。
• 将用户证书和证书吊销列表(CRLs)发布到AD DS。为了将证书发布到AD DS，安装CA的服务器必须是证书发布服务器组的成员。对于服务器所在的域，这是自动的，但必须为服务器委派适当的安全权限，以便在其他域中发布证书。
• 企业CA在证书注册期间对用户实施凭据检查。每个证书模板在AD DS中都有一个安全权限集，该权限集确定证书请求者是否有权接收所请求的证书类型。
• 证书主题名称可以从AD DS中的信息自动生成，或者由请求者显式地提供。更多关于独立的和企业 ADCS的信息。