web-dev-qa-db-ja.com

Microsoft ADCSスタンドアロンCAとエンタープライズCAの違い

これは、さまざまな種類のMicrosoft認証局についての 標準的な質問 です。

Microsoft ADCS Enterprise CAとスタンドアロンCAの違いに関する情報を探していますか?

各CAタイプをいつどこで使用すればよいですか?私はこの質問をググってみましたが、スタンドアロンCAがActive Directoryを楽しんでいないという答えが1つだけ見つかりました。選択する前に何を考慮すべきですか?

certificate-authority
9
Aamir

スタンドアロンCAとエンタープライズCAの間には大きな違いがあり、それぞれに使用シナリオがあります。

エンタープライズCA

このタイプのCAは、次の機能を提供します。

  • active Directoryとの緊密な統合

エンタープライズCAをADフォレストにインストールすると、自動的にADに公開され、各ADフォレストメンバーはすぐにCAと通信して証明書を要求できます。

  • 証明書テンプレート

証明書テンプレートを使用すると、企業は発行された証明書をその用途などに応じて標準化できます。管理者は、必要な証明書テンプレートを(適切な設定を使用して)構成し、発行のためにCAに送信します。互換性のある受信者は手動の要求生成に煩わされる必要はありません。CryptoAPIプラットフォームは自動的に正しい証明書要求を準備し、CAに送信して発行された証明書を取得します。一部のリクエストプロパティが無効な場合、CAはそれらを証明書テンプレートまたはActive Directoryからの正しい値で上書きします。

  • 証明書の自動登録

エンタープライズCAのキラー機能です。自動登録により、構成済みテンプレートの証明書を自動的に登録できます。ユーザーの操作は必要ありません。すべてが自動的に行われます(もちろん、自動登録には初期構成が必要です)。

  • キーのアーカイブ

この機能はシステム管理者によって過小評価されていますが、ユーザー暗号化証明書のバックアップソースとして非常に価値があります。秘密鍵が失われた場合、必要に応じてCAデータベースから回復できます。そうしないと、暗号化されたコンテンツにアクセスできなくなります。

スタンドアロンCA

このタイプのCAは、エンタープライズCAが提供する機能を利用できません。あれは:

  • 証明書テンプレートなし

つまり、すべての要求を手動で準備し、証明書に含める必要のあるすべての情報を含める必要があります。証明書テンプレートの設定によっては、エンタープライズCAに必要なのはキー情報のみで、残りの情報はCAによって自動的に取得されます。スタンドアロンCAは情報源がないため、それを行いません。リクエストは文字通り完全でなければなりません。

  • 手動証明書要求承認

スタンドアロンCAは証明書テンプレートを使用しないため、要求に危険な情報が含まれていないことを確認するには、すべての要求をCAマネージャーが手動で確認する必要があります。

  • 自動登録なし、キーのアーカイブなし

スタンドアロンCAはActive Directoryを必要としないため、これらの機能はこのタイプのCAでは無効になっています。

概要

スタンドアロンCAは行き止まりに見えるかもしれませんが、そうではありません。エンタープライズCAは、エンドエンティティ(ユーザー、デバイス)に証明書を発行するのに最適であり、「大量、低コスト」のシナリオ向けに設計されています。

一方、スタンドアロンCAは、オフラインCAを含む「少量、高コスト」のシナリオに最適です。通常、スタンドアロンCAはルートおよびポリシーCAとして機能するために使用され、他のCAに対してのみ証明書を発行します。証明書のアクティビティは非常に少ないため、スタンドアロンCAを妥当な期間(6〜12か月)オフラインにして、新しいCRLを発行するか、新しい下位CA証明書に署名するためだけにオンにすることができます。オフラインにしておくことで、キーのセキュリティが強化されます。ベストプラクティスでは、スタンドアロンCAをネットワークに接続せず、優れた物理的セキュリティを提供することをお勧めします。

企業全体のPKIを実装するときは、オフラインのスタンドアロンルートCAと、Active Directoryで動作するオンラインのエンタープライズ下位CAを使用する2層PKIアプローチに焦点を当てる必要があります。

12
Crypt32

すでに述べたように、明らかにAD統合は大きなものです。簡単な比較 ここ を見つけることができます。著者は次のように違いを要約します。

ドメイン内のコンピューターは、エンタープライズCAが発行する証明書を自動的に信頼します。スタンドアロンCAでは、グループポリシーを使用して、CAの自己署名証明書をドメイン内の各コンピューターの信頼されたルートCAストアに追加する必要があります。エンタープライズCAを使用すると、コンピューターの証明書を要求およびインストールするプロセスを自動化できます。また、Windows Server 2003 Enterprise EditionサーバーでエンタープライズCAを実行している場合は、自動登録機能を使用して、ユーザーの証明書の登録を自動化することもできます。

1
Jake Nelson

エンタープライズCAは企業に有用性を提供します(ただし、Active Directoryドメインサービスへのアクセスが必要です)。

  • グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関の証明書ストアに証明書を伝達します。
  • ユーザー証明書と証明書失効リスト(CRL)をAD DSに発行します。証明書をAD DSに公開するには、CAがインストールされているサーバーがCertificate Publishersグループのメンバーである必要があります。これは、サーバーが存在するドメインでは自動的に行われますが、サーバーには、他のドメインで証明書を公開するための適切なセキュリティアクセス許可を委任する必要があります。
  • エンタープライズCAは、証明書の登録中にユーザーの資格情報チェックを実施します。各証明書テンプレートには、AD DS=で設定されたセキュリティアクセス許可があり、これにより、証明書の要求者が要求した種類の証明書の受信を承認されるかどうかが決まります。

  • 証明書のサブジェクト名は、AD DS=の情報から自動的に生成するか、要求者が明示的に指定できます。

    スタンドアロン および エンタープライズ ADCS CAに関する詳細情報。

0
Slipeer