[server] Microsoft ADCS 독립형 CA와 엔터프라이즈 CA의 차이점

이것은이다 표준 질문 마이크로 소프트 인증 기관의 다른 유형에 대한

Microsoft ADCS Enterprise CA와 독립형 CA의 차이점에 대한 정보를 찾고 있습니까?

각 CA 유형을 언제 어디서 사용해야합니까? 나는이 질문을 봤는데 독립형 CA가 Active Directory를 즐기지 않는다는 단 하나의 답변 만 찾았습니다. 하나를 선택하기 전에 고려해야 할 사항은 무엇입니까?



답변

독립형 CA와 엔터프라이즈 CA 사이에는 상당한 차이가 있으며 각각의 사용 시나리오가 있습니다.

엔터프라이즈 CA

이 유형의 CA는 다음과 같은 기능을 제공합니다.

  • Active Directory와의 긴밀한 통합

AD 포리스트에 Enterprise CA를 설치하면 자동으로 AD에 게시되며 각 AD 포리스트 구성원은 CA와 즉시 통신하여 인증서를 요청할 수 있습니다.

  • 인증서 템플릿

인증서 템플릿을 사용하면 기업은 용도 또는 기타 다른 방법으로 발급 된 인증서를 표준화 할 수 있습니다. 관리자는 필요한 인증서 템플릿 (적절한 설정으로)을 구성하고 발급을 위해 CA에 넣습니다. 호환되는 수신자는 수동 요청 생성을 방해 할 필요가 없으며 CryptoAPI 플랫폼은 올바른 인증서 요청을 자동으로 준비하고 CA에 제출하고 발급 된 인증서를 검색합니다. 일부 요청 속성이 유효하지 않은 경우 CA는 인증서 템플릿 또는 Active Directory의 올바른 값으로 속성을 재정의합니다.

  • 인증서 자동 등록

Enterprise CA의 킬러 기능입니다. 자동 등록을 사용하면 구성된 템플릿에 대한 인증서를 자동으로 등록 할 수 있습니다. 사용자 상호 작용이 필요하지 않으며 모든 것이 자동으로 수행됩니다 (물론 자동 등록에는 초기 구성이 필요함).

  • 키 보관

이 기능은 시스템 관리자가 과소 평가했지만 사용자 암호화 인증서의 백업 소스로 매우 유용합니다. 개인 키가 손실되면 필요한 경우 CA 데이터베이스에서 복구 할 수 있습니다. 그렇지 않으면 암호화 된 콘텐츠에 대한 액세스가 느슨해집니다.

독립형 CA

이 유형의 CA는 엔터프라이즈 CA가 제공하는 기능을 사용할 수 없습니다. 그건:

  • 인증서 템플릿이 없습니다.

즉, 모든 요청은 수동으로 준비해야하며 인증서에 포함 할 모든 필수 정보를 포함해야합니다. 인증서 템플릿 설정에 따라 Enterprise CA에는 키 정보 만 필요할 수 있으며 나머지 정보는 CA에서 자동으로 검색합니다. 독립형 CA는 정보 소스가 없기 때문에 그렇게하지 않습니다. 요청은 문자 그대로 완료되어야합니다.

  • 수동 인증서 요청 승인

독립 CA는 인증서 템플릿을 사용하지 않으므로 요청에 위험한 정보가 포함되지 않도록 모든 요청을 CA 관리자가 수동으로 확인해야합니다.

  • 자동 등록 없음, 키 보관 없음

독립 실행 형 CA에는 Active Directory가 필요하지 않으므로 이러한 유형의 CA에서는 이러한 기능을 사용할 수 없습니다.

요약

비록 독립형 CA가 막 다른 골목 인 것처럼 보일 수도 있지만 그렇지 않습니다. 엔터프라이즈 CA는 최종 엔터티 (사용자, 장치)에게 인증서를 발급하는 데 가장 적합하며 “대용량, 저비용”시나리오를 위해 설계되었습니다.

반면에 독립형 CA는 오프라인을 포함하여 “저용량, 고비용”시나리오에 가장 적합합니다. 일반적으로 독립형 CA는 루트 및 정책 CA의 역할을하며 다른 CA에만 인증서를 발급합니다. 인증서 활동이 매우 낮으므로 독립형 CA를 합리적인 시간 (6-12 개월) 동안 오프라인으로 유지하고 새 CRL을 발행하거나 새 하위 CA 인증서에 서명 할 때만 설정할 수 있습니다. 오프라인으로 유지하면 주요 보안이 강화됩니다. 모범 사례에서는 독립형 CA를 네트워크에 연결하지 않고 물리적 보안을 강화하는 것이 좋습니다.

전사적 PKI를 구현할 때는 오프라인 독립형 루트 CA 및 온라인 엔터프라이즈 하위 CA를 사용하여 Active Directory에서 작동하는 2 계층 PKI 방식에 중점을 두어야합니다.


답변

이미 언급했듯이 AD 통합은 큰 것입니다. 여기서 간단한 비교를 찾을 수 있습니다 . 저자는 다음과 같이 차이점을 요약합니다.

도메인의 컴퓨터는 엔터프라이즈 CA가 발급 한 인증서를 자동으로 신뢰합니다. 독립 실행 형 CA에서는 그룹 정책을 사용하여 도메인의 각 컴퓨터에있는 신뢰할 수있는 루트 CA 저장소에 CA 자체 서명 인증서를 추가해야합니다. 또한 엔터프라이즈 CA를 사용하면 컴퓨터에 대한 인증서 요청 및 설치 프로세스를 자동화 할 수 있으며 Windows Server 2003 Enterprise Edition 서버에서 엔터프라이즈 CA를 실행중인 경우 자동 등록 기능을 사용하여 사용자의 인증서 등록을 자동화 할 수도 있습니다.


답변

엔터프라이즈 CA는 엔터프라이즈에 유용성을 제공하지만 Active Directory 도메인 서비스에 액세스해야합니다.

  • 그룹 정책을 사용하여 도메인의 모든 사용자와 컴퓨터에 대한 인증서를 신뢰할 수있는 루트 인증 기관 인증서 저장소로 전파합니다.
  • 사용자 인증서 및 CRL (인증서 해지 목록)을 AD DS에 게시합니다. 인증서를 AD DS에 게시하려면 CA가 설치된 서버가 Certificate Publishers 그룹의 구성원이어야합니다. 이것은 서버가 속한 도메인에 대해 자동이지만 서버는 다른 도메인에 인증서를 게시 할 수있는 적절한 보안 권한을 위임 받아야합니다.
  • 엔터프라이즈 CA는 인증서 등록 중에 사용자에 대한 자격 증명 검사를 시행합니다. 각 인증서 템플릿에는 AD DS에 보안 권한이 설정되어있어 인증서 요청자가 요청한 인증서 유형을받을 권한이 있는지 여부를 결정합니다.
  • 인증서 주체 이름은 AD DS의 정보에서 자동으로 생성되거나 요청자가 명시 적으로 제공 할 수 있습니다.

    독립형Enterprise ADCS CA 에 대한 자세한 정보


답변