# Connecteur de certificats
| Catégorie | SCEPman | Microsoft CA avec PKCS | NDES avec SCEP |
| --------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Effort de mise en place** | < 30 minutes
| > 2 - 3 jours
- Conception et mise en œuvre du CDP\*
- Configuration des modèles de certificats
- Compatibilité de configuration – GPOs, comptes de service, versions du connecteur, ...
| > + 2 jours
En plus de PKCS :
- Serveur(s) supplémentaire(s) pour NDES
- Un serveur NDES pour chaque type de certificat
- Deux modèles de certificats supplémentaires
- Difficile à déboguer
|
| **Maintenance de la PKI** | | | En plus de PKCS :
- Renouvellement manuel du certificat de l’Enrolment Agent
|
| **Maintenance du serveur** | | - Mises à jour du système d’exploitation
- Surveillance
| En plus de PKCS :
- Mises à jour et surveillance du système d’exploitation pour au moins un serveur supplémentaire
|
| Gestion des certificats
Émission, renouvellement, révocation
| | - Inscription et renouvellement entièrement automatisés
- Révocation manuelle (difficile de rechercher dans la base de données)
| *Comme PKCS.* |
| **Disponibilité** | Conception unique
- SLA d’App Service : > 99,95 % de disponibilité
Conception redondante
- SLA de Traffic Manager : > 99,99 % de disponibilité
| Plusieurs modes de défaillance :
- Plateforme de virtualisation
- Système d’exploitation
- Serveur web CDP
Conception redondante
- Serveur CA de secours
- Serveurs web CDP supplémentaires
- Serveur de secours pour le Certificate Connector de sauvegarde
| Comme PKCS.
Conception redondante
- Serveurs NDES supplémentaires
|
| **Évolutivité** | | | Comme PKCS.
- Effort supplémentaire pour dupliquer les serveurs NDES
|
| **Sauvegarde** | - SCEPman est sans état pour les fonctionnalités de base, c.-à-d. qu’aucune sauvegarde n’est requise.
- La Root CA SCEPman est implicitement sauvegardée par Azure KeyVault (redondant par région).
- Le Storage Account optionnel peut être sauvegardé automatiquement.
| - Sauvegardes régulières de la base de données de la CA
- Sauvegarde de la clé et de la configuration de la CA (exigences élevées de conformité et de sécurité)
| *Comme PKCS.* |
| **Sécurité** | - Conçu selon une approche Zero-Trust (cloud-native)
- Utilisation de schémas d’authentification de pointe
- Révocation automatique des certificats en temps réel avec OCSP (erreur humaine impossible)
| - Conçu pour une utilisation sur site
- Vulnérable à "l’attaque certifried"
- Surface d’attaque accrue en raison d’un canal de communication supplémentaire entre la CA (ressource de niveau 0) et Internet
- Surface d’attaque accrue en raison de l’utilisation de comptes sur site et cloud
- L’actualité de la CRL dépend de l’intervalle d’actualisation
- OCSP est basé sur la CRL et pas en temps réel
| Comme PKCS.
|
| **Flexibilité** | - Utilisation d’interfaces standardisées (SCEP, OCSP, REST)
- Prise en charge de plusieurs solutions MDM
| - Seul Intune est pris en charge
- L’interface RPC propriétaire permet l’inscription automatique des certificats sur les clients hérités joints au domaine
| - Prise en charge de plusieurs solutions MDM possible (une instance NDES supplémentaire est requise)
|
\*: Point de distribution de la CRL
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/fr/autre/faqs/certificate-connector.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.