# Certificate Connector
| Kategorie | SCEPman | Microsoft CA mit PKCS | NDES mit SCEP |
| ---------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Einrichtungsaufwand** | < 30 Minuten
| > 2 - 3 Tage
- CDP\*-Design und -Implementierung
- Konfiguration der Zertifikatvorlagen
- Konfigurationskompatibilität – GPOs, Dienstkonten, Connector-Versionen, ...
| > + 2 Tage
Zusätzlich zu PKCS:
- Zusätzliche(r) Server für NDES
- Ein NDES-Server für jeden Zertifikatstyp
- Zwei zusätzliche Zertifikatvorlagen
- Schwer zu debuggen
|
| **PKI-Wartung** | | | Zusätzlich zu PKCS:
- Manuelle Erneuerung des Enrolment Agent-Zertifikats
|
| **Serverwartung** | | - Betriebssystem-Updates
- Monitoring
| Zusätzlich zu PKCS:
- Betriebssystem-Updates und Monitoring für mindestens einen zusätzlichen Server
|
| Zertifikatsverwaltung
Ausstellung, Erneuerung, Widerruf
| | - Vollautomatisierte Anmeldung und Erneuerung
- Manueller Widerruf (schwer in der Datenbank zu suchen)
| *Wie PKCS.* |
| **Verfügbarkeit** | Einzelnes Design
- App Service SLA: > 99,95 % Verfügbarkeit
Redundantes Design
- Traffic Manager SLA: > 99,99 % Verfügbarkeit
| Mehrere Ausfallmodi:
- Virtualisierungsplattform
- Betriebssystem
- CDP-Webserver
Redundantes Design
- Standby-CA-Server
- Zusätzliche CDP-Webserver
- Standby-Server für den Backup-Certificate-Connector
| Wie PKCS.
Redundantes Design
|
| **Skalierbarkeit** | | | Wie PKCS.
- Zusätzlicher Aufwand für die Duplizierung von NDES-Servern
|
| **Backup** | - SCEPman ist für die Kernfunktionalität zustandslos, d. h. es ist kein Backup erforderlich.
- Die SCEPman Root CA wird implizit durch Azure KeyVault gesichert (regionsredundant).
- Optionales Storage-Konto kann automatisch gesichert werden.
| - Regelmäßige CA-Datenbank-Backups
- Backup von CA-Schlüssel und Konfiguration (hohe Compliance- und Sicherheitsanforderungen)
| *Wie PKCS.* |
| **Sicherheit** | - Auf Basis eines Zero-Trust-Ansatzes entwickelt (cloud-nativ)
- Verwendung modernster Authentifizierungsschemata
- Automatischer Zertifikatswiderruf in Echtzeit mit OCSP (menschliche Fehler unmöglich)
| - Für den On-Premises-Einsatz konzipiert
- Anfällig für "certifried-Angriff"
- Erhöhte Angriffsfläche durch zusätzlichen Kommunikationskanal zwischen der CA (Asset der Tier 0) und dem Internet
- Erhöhte Angriffsfläche durch die Verwendung von On-Premises- und Cloud-Konten
- Die Aktualität der CRL hängt vom Aktualisierungsintervall ab
- OCSP basiert auf CRL und nicht in Echtzeit
| Wie PKCS.
|
| **Flexibilität** | - Verwendung standardisierter Schnittstellen (SCEP, OCSP, REST)
- Unterstützung mehrerer MDM-Lösungen
| - Es wird nur Intune unterstützt
- Proprietäre RPC-Schnittstelle ermöglicht die automatische Zertifikatsregistrierung auf älteren, in die Domäne eingebundenen Clients
| - Unterstützung mehrerer MDM-Lösungen möglich (zusätzliche NDES-Instanz erforderlich)
|
\*: CRL Distribution Point
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/de/sonstiges/faqs/certificate-connector.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.