Certificate Connector

Einrichtungsaufwand

< 30 Minuten

• 3-stufiges Bereitstellungsverfahren für die Kernfunktionalität

> 2 - 3 Tage

• CDP*-Design und -Implementierung

• Konfiguration der Zertifikatvorlagen

• Konfigurationskompatibilität – GPOs, Dienstkonten, Connector-Versionen, ...

> + 2 Tage

Zusätzlich zu PKCS:

• Zusätzliche(r) Server für NDES

• Ein NDES-Server für jeden Zertifikatstyp

• Zwei zusätzliche Zertifikatvorlagen

• Schwer zu debuggen

PKI-Wartung

• Automatisches Gesundheitsmonitoring in Azure

• CDP-Monitoring

• Monitoring des Certificate Connectors

Zusätzlich zu PKCS:

• Manuelle Erneuerung des Enrolment Agent-Zertifikats

Serverwartung

• Automatische Updates / Patches

• Betriebssystem-Updates

• Monitoring

Zusätzlich zu PKCS:

• Betriebssystem-Updates und Monitoring für mindestens einen zusätzlichen Server

Zertifikatsverwaltung Ausstellung, Erneuerung, Widerruf

• Vollautomatisierte Anmeldung und Erneuerung

• Vollautomatisierter Widerruf

• Option für manuellen Widerruf

• Vollautomatisierte Anmeldung und Erneuerung

• Manueller Widerruf (schwer in der Datenbank zu suchen)

Wie PKCS.

Verfügbarkeit

Einzelnes Design

• App Service SLA: > 99,95 % Verfügbarkeit

Redundantes Design

• Traffic Manager SLA: > 99,99 % Verfügbarkeit

Mehrere Ausfallmodi:

• Virtualisierungsplattform

• Betriebssystem

• CDP-Webserver

Redundantes Design

• Standby-CA-Server

• Zusätzliche CDP-Webserver

• Standby-Server für den Backup-Certificate-Connector

Wie PKCS.

Redundantes Design

• Zusätzliche NDES-Server

Skalierbarkeit

• Autoskalierung oder manuelle Skalierung mit wenigen Klicks

• Beliebig viele Clients mit einer SCEPman-CA bedienen.

• Keine Autoskalierung

• Skalierung erfordert CA-Cluster

• Komplexe manuelle Skalierung

Wie PKCS.

• Zusätzlicher Aufwand für die Duplizierung von NDES-Servern

Backup

• SCEPman ist für die Kernfunktionalität zustandslos, d. h. es ist kein Backup erforderlich.

• Die SCEPman Root CA wird implizit durch Azure KeyVault gesichert (regionsredundant).

• Optionales Storage-Konto kann automatisch gesichert werden.

• Regelmäßige CA-Datenbank-Backups

• Backup von CA-Schlüssel und Konfiguration (hohe Compliance- und Sicherheitsanforderungen)

Wie PKCS.

Sicherheit

• Auf Basis eines Zero-Trust-Ansatzes entwickelt (cloud-nativ)

• Verwendung modernster Authentifizierungsschemata

• Automatischer Zertifikatswiderruf in Echtzeit mit OCSP (menschliche Fehler unmöglich)

• Für den On-Premises-Einsatz konzipiert

• Anfällig für "certifried-Angriff"

• Erhöhte Angriffsfläche durch zusätzlichen Kommunikationskanal zwischen der CA (Asset der Tier 0) und dem Internet

• Erhöhte Angriffsfläche durch die Verwendung von On-Premises- und Cloud-Konten

• Die Aktualität der CRL hängt vom Aktualisierungsintervall ab

• OCSP basiert auf CRL und nicht in Echtzeit

Wie PKCS.

• Erfordert eingehenden Zugriff auf NDES (Tier-0-Asset)

Flexibilität

• Verwendung standardisierter Schnittstellen (SCEP, OCSP, REST)

• Unterstützung mehrerer MDM-Lösungen

• Es wird nur Intune unterstützt

• Proprietäre RPC-Schnittstelle ermöglicht die automatische Zertifikatsregistrierung auf älteren, in die Domäne eingebundenen Clients

• Unterstützung mehrerer MDM-Lösungen möglich (zusätzliche NDES-Instanz erforderlich)