Conector de certificados

Esfuerzo de configuración

< 30 minutos

• Procedimiento de implementación de 3 pasos para la funcionalidad الأساسية

> 2 - 3 días

• Diseño e implementación de CDP*

• Configuración de plantillas de certificado

• Compatibilidad de configuración – GPOs, cuentas de servicio, versiones del conector, ...

> + 2 días

Además de PKCS:

• Servidor(es) adicional(es) para NDES

• Un servidor NDES para cada tipo de certificado

• Dos plantillas de certificado adicionales

• Difícil de depurar

Mantenimiento de PKI

• Supervisión automática del estado en Azure

• Supervisión de CDP

• Supervisión del Certificate Connector

Además de PKCS:

• Renovación manual del certificado del Enrolment Agent

Mantenimiento del servidor

• Actualizaciones / parches automáticos

• Actualizaciones del sistema operativo

• Supervisión

Además de PKCS:

• Actualizaciones y supervisión del sistema operativo para al menos un servidor adicional

Gestión de certificados Emisión, renovación, revocación

• Inscripción y renovación totalmente automatizadas

• Revocación totalmente automatizada

• Opción de revocación manual

• Inscripción y renovación totalmente automatizadas

• Revocación manual (difícil buscar en la base de datos)

Como PKCS.

Disponibilidad

Diseño singular

• SLA de App Service: > 99,95 % de tiempo de actividad

Diseño redundante

• SLA de Traffic Manager: > 99,99 % de tiempo de actividad

Múltiples modos de fallo:

• Plataforma de virtualización

• Sistema operativo

• Servidor web de CDP

Diseño redundante

• Servidor CA en espera

• Servidores web de CDP adicionales

• Servidor en espera para el Certificate Connector de copia de seguridad

Como PKCS.

Diseño redundante

• Servidores NDES adicionales

Escalabilidad

• Autoescalado o escalado manual con unos pocos clics

• Atienda cualquier número de clientes con una sola CA de SCEPman.

• Sin autoescalado

• El escalado requiere un clúster de CA

• Escalado manual complejo

Como PKCS.

• Esfuerzo adicional para duplicar servidores NDES

Copia de seguridad

• SCEPman no tiene estado para la funcionalidad principal, es decir, no se requiere copia de seguridad.

• La Root CA de SCEPman se respalda implícitamente mediante Azure KeyVault (con redundancia regional).

• La cuenta de almacenamiento opcional puede respaldarse automáticamente.

• Copias de seguridad periódicas de la base de datos de CA

• Copia de seguridad de la clave y la configuración de la CA (altos requisitos de cumplimiento y seguridad)

Como PKCS.

Seguridad

• Diseñado según el enfoque de Zero Trust (nativo de la nube)

• Uso de esquemas de autenticación de última generación

• Revocación automática de certificados en tiempo real con OCSP (error humano imposible)

• Diseñado para uso local

• Susceptible al "ataque certifried"

• Mayor superficie de ataque debido al canal de comunicación adicional entre la CA (activo de nivel 0) e Internet

• Mayor superficie de ataque debido al uso de cuentas locales y en la nube

• La actualidad de la CRL depende del intervalo de actualización

• OCSP se basa en la CRL y no en tiempo real

Como PKCS.

• Requiere acceso entrante a NDES (activo de nivel 0)

Flexibilidad

• Uso de interfaces estandarizadas (SCEP, OCSP, REST)

• Compatibilidad con múltiples soluciones MDM

• Solo se admite Intune

• La interfaz RPC propietaria permite el autoenrolamiento de certificados en clientes heredados unidos al dominio

• Es posible la compatibilidad con múltiples soluciones MDM (se requiere una instancia adicional de NDES)