[server] Microsoft ADCS 독립형 CA와 엔터프라이즈 CA의 차이점

독립형 CA와 엔터프라이즈 CA 사이에는 상당한 차이가 있으며 각각의 사용 시나리오가 있습니다.

엔터프라이즈 CA

이 유형의 CA는 다음과 같은 기능을 제공합니다.

• Active Directory와의 긴밀한 통합

AD 포리스트에 Enterprise CA를 설치하면 자동으로 AD에 게시되며 각 AD 포리스트 구성원은 CA와 즉시 통신하여 인증서를 요청할 수 있습니다.

• 인증서 템플릿

인증서 템플릿을 사용하면 기업은 용도 또는 기타 다른 방법으로 발급 된 인증서를 표준화 할 수 있습니다. 관리자는 필요한 인증서 템플릿 (적절한 설정으로)을 구성하고 발급을 위해 CA에 넣습니다. 호환되는 수신자는 수동 요청 생성을 방해 할 필요가 없으며 CryptoAPI 플랫폼은 올바른 인증서 요청을 자동으로 준비하고 CA에 제출하고 발급 된 인증서를 검색합니다. 일부 요청 속성이 유효하지 않은 경우 CA는 인증서 템플릿 또는 Active Directory의 올바른 값으로 속성을 재정의합니다.

• 인증서 자동 등록

Enterprise CA의 킬러 기능입니다. 자동 등록을 사용하면 구성된 템플릿에 대한 인증서를 자동으로 등록 할 수 있습니다. 사용자 상호 작용이 필요하지 않으며 모든 것이 자동으로 수행됩니다 (물론 자동 등록에는 초기 구성이 필요함).

• 키 보관

이 기능은 시스템 관리자가 과소 평가했지만 사용자 암호화 인증서의 백업 소스로 매우 유용합니다. 개인 키가 손실되면 필요한 경우 CA 데이터베이스에서 복구 할 수 있습니다. 그렇지 않으면 암호화 된 콘텐츠에 대한 액세스가 느슨해집니다.

독립형 CA

이 유형의 CA는 엔터프라이즈 CA가 제공하는 기능을 사용할 수 없습니다. 그건:

• 인증서 템플릿이 없습니다.

즉, 모든 요청은 수동으로 준비해야하며 인증서에 포함 할 모든 필수 정보를 포함해야합니다. 인증서 템플릿 설정에 따라 Enterprise CA에는 키 정보 만 필요할 수 있으며 나머지 정보는 CA에서 자동으로 검색합니다. 독립형 CA는 정보 소스가 없기 때문에 그렇게하지 않습니다. 요청은 문자 그대로 완료되어야합니다.

• 수동 인증서 요청 승인

독립 CA는 인증서 템플릿을 사용하지 않으므로 요청에 위험한 정보가 포함되지 않도록 모든 요청을 CA 관리자가 수동으로 확인해야합니다.

• 자동 등록 없음, 키 보관 없음

독립 실행 형 CA에는 Active Directory가 필요하지 않으므로 이러한 유형의 CA에서는 이러한 기능을 사용할 수 없습니다.

요약

비록 독립형 CA가 막 다른 골목 인 것처럼 보일 수도 있지만 그렇지 않습니다. 엔터프라이즈 CA는 최종 엔터티 (사용자, 장치)에게 인증서를 발급하는 데 가장 적합하며 “대용량, 저비용”시나리오를 위해 설계되었습니다.

반면에 독립형 CA는 오프라인을 포함하여 “저용량, 고비용”시나리오에 가장 적합합니다. 일반적으로 독립형 CA는 루트 및 정책 CA의 역할을하며 다른 CA에만 인증서를 발급합니다. 인증서 활동이 매우 낮으므로 독립형 CA를 합리적인 시간 (6-12 개월) 동안 오프라인으로 유지하고 새 CRL을 발행하거나 새 하위 CA 인증서에 서명 할 때만 설정할 수 있습니다. 오프라인으로 유지하면 주요 보안이 강화됩니다. 모범 사례에서는 독립형 CA를 네트워크에 연결하지 않고 물리적 보안을 강화하는 것이 좋습니다.

전사적 PKI를 구현할 때는 오프라인 독립형 루트 CA 및 온라인 엔터프라이즈 하위 CA를 사용하여 Active Directory에서 작동하는 2 계층 PKI 방식에 중점을 두어야합니다.

---

답변