# Conector de certificados
| Categoría | SCEPman | Microsoft CA con PKCS | NDES con SCEP |
| ---------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Esfuerzo de configuración** | < 30 minutos
| > 2 - 3 días
- Diseño e implementación de CDP\*
- Configuración de plantillas de certificado
- Compatibilidad de configuración – GPOs, cuentas de servicio, versiones del conector, ...
| > + 2 días
Además de PKCS:
- Servidor(es) adicional(es) para NDES
- Un servidor NDES para cada tipo de certificado
- Dos plantillas de certificado adicionales
- Difícil de depurar
|
| **Mantenimiento de PKI** | | | Además de PKCS:
- Renovación manual del certificado del Enrolment Agent
|
| **Mantenimiento del servidor** | | - Actualizaciones del sistema operativo
- Supervisión
| Además de PKCS:
- Actualizaciones y supervisión del sistema operativo para al menos un servidor adicional
|
| Gestión de certificados
Emisión, renovación, revocación
| | - Inscripción y renovación totalmente automatizadas
- Revocación manual (difícil buscar en la base de datos)
| *Como PKCS.* |
| **Disponibilidad** | Diseño singular
- SLA de App Service: > 99,95 % de tiempo de actividad
Diseño redundante
- SLA de Traffic Manager: > 99,99 % de tiempo de actividad
| Múltiples modos de fallo:
- Plataforma de virtualización
- Sistema operativo
- Servidor web de CDP
Diseño redundante
- Servidor CA en espera
- Servidores web de CDP adicionales
- Servidor en espera para el Certificate Connector de copia de seguridad
| Como PKCS.
Diseño redundante
- Servidores NDES adicionales
|
| **Escalabilidad** | | | Como PKCS.
- Esfuerzo adicional para duplicar servidores NDES
|
| **Copia de seguridad** | - SCEPman no tiene estado para la funcionalidad principal, es decir, no se requiere copia de seguridad.
- La Root CA de SCEPman se respalda implícitamente mediante Azure KeyVault (con redundancia regional).
- La cuenta de almacenamiento opcional puede respaldarse automáticamente.
| - Copias de seguridad periódicas de la base de datos de CA
- Copia de seguridad de la clave y la configuración de la CA (altos requisitos de cumplimiento y seguridad)
| *Como PKCS.* |
| **Seguridad** | - Diseñado según el enfoque de Zero Trust (nativo de la nube)
- Uso de esquemas de autenticación de última generación
- Revocación automática de certificados en tiempo real con OCSP (error humano imposible)
| - Diseñado para uso local
- Susceptible al "ataque certifried"
- Mayor superficie de ataque debido al canal de comunicación adicional entre la CA (activo de nivel 0) e Internet
- Mayor superficie de ataque debido al uso de cuentas locales y en la nube
- La actualidad de la CRL depende del intervalo de actualización
- OCSP se basa en la CRL y no en tiempo real
| Como PKCS.
|
| **Flexibilidad** | - Uso de interfaces estandarizadas (SCEP, OCSP, REST)
- Compatibilidad con múltiples soluciones MDM
| - Solo se admite Intune
- La interfaz RPC propietaria permite el autoenrolamiento de certificados en clientes heredados unidos al dominio
| - Es posible la compatibilidad con múltiples soluciones MDM (se requiere una instancia adicional de NDES)
|
\*: punto de distribución de CRL