Conector de certificados

Esfuerzo de configuración

< 30 minutos

• Procedimiento de implementación de 3 pasos para funcionalidad central

> 2 - 3 días

• Diseño e implementación de CDP*

• Configuración de Plantillas de Certificado

• Compatibilidad de configuración – GPOs, Cuentas de Servicio, Versiones del Conector, ...

> + 2 días

Además de PKCS:

• Servidor(es) adicional(es) para NDES

• Un servidor NDES por cada tipo de certificado

• Dos Plantillas de Certificado adicionales

• Difícil de depurar

Mantenimiento de PKI

• Monitorización de salud automática en Azure

• Monitorización de CDP

• Monitorización del Conector de Certificados

Además de PKCS:

• Renovación manual del certificado del Agente de Inscripción

Mantenimiento del servidor

• Actualizaciones/patches automáticos

• Actualizaciones del sistema operativo

• Supervisión

Además de PKCS:

• Actualizaciones del sistema operativo y monitorización para al menos un servidor adicional

Gestión de certificados Emisión, renovación, revocación

• Inscripción y renovación totalmente automatizadas

• Revocación totalmente automatizada

• Opción de revocación manual

• Inscripción y renovación totalmente automatizadas

• Revocación manual (difícil buscar en la base de datos)

Como PKCS.

Disponibilidad

Diseño singular

• SLA de App Service: > 99.95 % de tiempo de actividad

Diseño redundante

• SLA de Traffic Manager: > 99.99 % de tiempo de actividad

Múltiples modos de fallo:

• Plataforma de virtualización

• Sistema operativo

• Servidor web CDP

Diseño redundante

• Servidor CA en espera

• Servidores web CDP adicionales

• Servidor en espera para conector de certificados de respaldo

Como PKCS.

Diseño redundante

• Servidores NDES adicionales

Escalabilidad

• Autoescalado o escalado manual con unos pocos clics

• Atender cualquier número de clientes con una CA SCEPman.

• Sin autoescalado

• El escalado requiere clúster de CA

• Escalado manual complejo

Como PKCS.

• Más esfuerzo para duplicar servidores NDES

Copia de seguridad

• SCEPman es sin estado para la funcionalidad central, es decir, no se requiere copia de seguridad.

• La CA raíz de SCEPman está respaldada implícitamente por Azure KeyVault (redundante por región).

• La cuenta de almacenamiento opcional puede respaldarse automáticamente.

• Copias de seguridad regulares de la base de datos de CA

• Copia de seguridad de la clave y configuración de la CA (requisitos altos de cumplimiento y seguridad)

Como PKCS.

Seguridad

• Diseñado según el enfoque Zero-Trust (nativo en la nube)

• Uso de esquemas de autenticación de última generación

• Revocación automática de certificados en tiempo real con OCSP (error humano imposible)

• Diseñado para uso local (on-premises)

• Susceptible a "ataque certifried"

• Superficie de ataque aumentada debido a canal de comunicación adicional entre la CA (activo de nivel 0) e Internet

• Superficie de ataque aumentada debido al uso de cuentas locales y en la nube

• La actualidad de la CRL depende del intervalo de actualización

• OCSP se basa en CRL y no en tiempo real

Como PKCS.

• Requiere acceso entrante a NDES (activo de nivel 0)

Flexibilidad

• Uso de interfaces estandarizadas (SCEP, OCSP, REST)

• Compatibilidad con múltiples soluciones MDM

• Solo se admite Intune

• La interfaz RPC propietaria permite la inscripción automática de certificados en clientes heredados unidos al dominio

• Posible compatibilidad con múltiples soluciones MDM (se requiere instancia NDES adicional)