Microsoft ADCS独立CA和企业CA之间的区别

这是有关不同类型的Microsoft证书颁发机构的规范问题

我在寻找有关Microsoft ADCS企业CA和独立CA之间差异的信息吗？

我应该在何时何地使用每种CA类型？我试图用谷歌搜索这个问题，但发现只有一个答案是独立CA不喜欢Active Directory。选择一个之前我应该​​考虑什么？

独立CA与企业CA之间存在显着差异，并且每种都有其使用方案。

企业CA

这种类型的CA提供以下功能：

• 与Active Directory紧密集成

在AD林中安装企业CA时，它会自动发布到AD，并且每个AD林成员都可以立即与CA通信以请求证书。

• 证书模板

证书模板使企业可以根据其用法或其他用途对颁发的证书进行标准化。管理员配置必需的证书模板（具有适当的设置），然后将其放入CA进行颁发。兼容的接收者不必费心手动生成请求，CryptoAPI平台将自动准备正确的证书请求，将其提交给CA并检索已颁发的证书。如果某些请求属性无效，则CA将使用证书模板或Active Directory中的正确值覆盖它们。

• 证书自动注册

是企业CA的杀手级功能。自动注册允许自动注册已配置模板的证书。无需用户交互，一切都会自动发生（当然，自动注册需要初始配置）。

• 关键档案

此功能被系统管理员低估了，但是作为用户加密证书的备份源非常有价值。如果私钥丢失，则可以根据需要从CA数据库中恢复私钥。否则，您将失去对加密内容的访问权限。

独立CA

这种类型的CA无法利用企业CA提供的功能。那是：

• 没有证书模板

这意味着每个请求都必须手动准备，并且必须包括要包含在证书中的所有必需信息。根据证书模板设置，企业CA可能仅需要密钥信息，其余信息将由CA自动检索。独立CA无法做到这一点，因为它缺乏信息源。该请求必须从字面上完成。

• 手动证书申请批准

由于独立CA不使用证书模板，因此每个请求都必须由CA管理员手动验证，以确保该请求不包含危险信息。

• 没有自动注册，没有关键档案

由于独立CA不需要Active Directory，因此此类CA禁用了这些功能。

摘要

尽管看起来Standalone CA是一个死胡同，但事实并非如此。企业CA最适合向最终实体（用户，设备）颁发证书，并且是针对“大批量，低成本”方案设计的。

另一方面，独立CA最适合“小批量，高成本”的场景，包括离线场景。通常，独立CA用于充当根CA和策略CA，它们仅向其他CA颁发证书。由于证书活动很少，因此您可以在相当长的一段时间（6至12个月）内使Standalone CA保持脱机状态，并仅打开以颁发新的CRL或签署新的从属CA证书。通过使其保持脱机状态，可以增强其密钥安全性。最佳实践建议不要将独立CA附加到任何网络上，并提供良好的物理安全性。

在实施企业范围内的PKI时，您应重点关注具有在Active Directory中运行的脱机独立根CA和联机企业从属CA的2层PKI方法。

显然，您已经提到过AD集成是一个很大的集成。您可以在这里找到简短的比较。作者总结了以下差异：

域中的计算机自动信任企业CA颁发的证书。对于独立的CA，必须使用组策略将CA的自签名证书添加到域中每台计算机上的“受信任的根CA”存储中。企业CA还可以使您自动执行计算机证书的请求和安装过程，并且如果您在Windows Server 2003 Enterprise Edition服务器上运行企业CA，甚至可以使用自动注册功能为用户自动进行证书注册。

企业CA为企业提供了有用性（但需要访问Active Directory域服务）：

• 使用组策略将其证书传播给域中所有用户和计算机的“受信任的根证书颁发机构”证书存储。
• 将用户证书和证书吊销列表（CRL）发布到AD DS。为了将证书发布到AD DS，安装CA的服务器必须是Certificate Publishers组的成员。对于服务器所在的域，这是自动的，但是必须委派服务器适当的安全权限才能在其他域中发布证书。
• 企业CA在证书注册期间对用户执行凭据检查。每个证书模板在AD DS中都有一个安全权限设置，该权限确定证书请求者是否被授权接收他们所请求的证书类型。

• 证书使用者名称可以根据AD DS中的信息自动生成，也可以由请求者明确提供。

  有关独立和企业 ADCS CA的更多信息。