# Conector de certificados | Categoría | SCEPman | Microsoft CA con PKCS | NDES con SCEP | | ---------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Esfuerzo de configuración** |

< 30 minutos

Procedimiento de implementación de 3 pasos para la funcionalidad الأساسية

> 2 - 3 días

Diseño e implementación de CDP\*
Configuración de plantillas de certificado
Compatibilidad de configuración – GPOs, cuentas de servicio, versiones del conector, ...

> + 2 días

Además de PKCS:

Servidor(es) adicional(es) para NDES
Un servidor NDES para cada tipo de certificado
Dos plantillas de certificado adicionales
Difícil de depurar

| | **Mantenimiento de PKI** |

Supervisión automática del estado en Azure

Supervisión de CDP
Supervisión del Certificate Connector

Además de PKCS:

Renovación manual del certificado del Enrolment Agent

| | **Mantenimiento del servidor** |

Actualizaciones / parches automáticos

Actualizaciones del sistema operativo
Supervisión

Además de PKCS:

Actualizaciones y supervisión del sistema operativo para al menos un servidor adicional

| |

Gestión de certificados
Emisión, renovación, revocación

Inscripción y renovación totalmente automatizadas
Revocación totalmente automatizada
Opción de revocación manual

Inscripción y renovación totalmente automatizadas
Revocación manual (difícil buscar en la base de datos)

| *Como PKCS.* | | **Disponibilidad** |

Diseño singular

SLA de App Service: > 99,95 % de tiempo de actividad

Diseño redundante

SLA de Traffic Manager: > 99,99 % de tiempo de actividad

Múltiples modos de fallo:

Plataforma de virtualización
Sistema operativo
Servidor web de CDP

Diseño redundante

Servidor CA en espera
Servidores web de CDP adicionales
Servidor en espera para el Certificate Connector de copia de seguridad

Como PKCS.

Diseño redundante

Servidores NDES adicionales

| | **Escalabilidad** |

Sin autoescalado
El escalado requiere un clúster de CA
Escalado manual complejo

Como PKCS.

Esfuerzo adicional para duplicar servidores NDES

| | **Copia de seguridad** |

SCEPman no tiene estado para la funcionalidad principal, es decir, no se requiere copia de seguridad.
La Root CA de SCEPman se respalda implícitamente mediante Azure KeyVault (con redundancia regional).
La cuenta de almacenamiento opcional puede respaldarse automáticamente.

Copias de seguridad periódicas de la base de datos de CA
Copia de seguridad de la clave y la configuración de la CA (altos requisitos de cumplimiento y seguridad)

| *Como PKCS.* | | **Seguridad** |

Diseñado según el enfoque de Zero Trust (nativo de la nube)
Uso de esquemas de autenticación de última generación
Revocación automática de certificados en tiempo real con OCSP (error humano imposible)

Diseñado para uso local
Susceptible al "ataque certifried"
Mayor superficie de ataque debido al canal de comunicación adicional entre la CA (activo de nivel 0) e Internet
Mayor superficie de ataque debido al uso de cuentas locales y en la nube
La actualidad de la CRL depende del intervalo de actualización
OCSP se basa en la CRL y no en tiempo real

Como PKCS.

Requiere acceso entrante a NDES (activo de nivel 0)

| | **Flexibilidad** |

Uso de interfaces estandarizadas (SCEP, OCSP, REST)
Compatibilidad con múltiples soluciones MDM

Solo se admite Intune
La interfaz RPC propietaria permite el autoenrolamiento de certificados en clientes heredados unidos al dominio

Es posible la compatibilidad con múltiples soluciones MDM (se requiere una instancia adicional de NDES)

| \*: punto de distribución de CRL --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/es/otros/faqs/certificate-connector.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.