# Connecteur de certificats
| Catégorie | SCEPman | Microsoft CA avec PKCS | NDES avec SCEP |
| --------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Effort de mise en place** | < 30 minutes
| > 2 - 3 jours
- Conception et mise en œuvre du CDP\*
- Configuration des modèles de certificats
- Compatibilité de configuration – GPOs, comptes de service, versions du connecteur, ...
| > + 2 jours
En plus de PKCS :
- Serveur(s) supplémentaire(s) pour NDES
- Un serveur NDES pour chaque type de certificat
- Deux modèles de certificats supplémentaires
- Difficile à déboguer
|
| **Maintenance de la PKI** | | | En plus de PKCS :
- Renouvellement manuel du certificat de l’Enrolment Agent
|
| **Maintenance du serveur** | | - Mises à jour du système d’exploitation
- Surveillance
| En plus de PKCS :
- Mises à jour et surveillance du système d’exploitation pour au moins un serveur supplémentaire
|
| Gestion des certificats
Émission, renouvellement, révocation
| | - Inscription et renouvellement entièrement automatisés
- Révocation manuelle (difficile de rechercher dans la base de données)
| *Comme PKCS.* |
| **Disponibilité** | Conception unique
- SLA d’App Service : > 99,95 % de disponibilité
Conception redondante
- SLA de Traffic Manager : > 99,99 % de disponibilité
| Plusieurs modes de défaillance :
- Plateforme de virtualisation
- Système d’exploitation
- Serveur web CDP
Conception redondante
- Serveur CA de secours
- Serveurs web CDP supplémentaires
- Serveur de secours pour le Certificate Connector de sauvegarde
| Comme PKCS.
Conception redondante
- Serveurs NDES supplémentaires
|
| **Évolutivité** | | | Comme PKCS.
- Effort supplémentaire pour dupliquer les serveurs NDES
|
| **Sauvegarde** | - SCEPman est sans état pour les fonctionnalités de base, c.-à-d. qu’aucune sauvegarde n’est requise.
- La Root CA SCEPman est implicitement sauvegardée par Azure KeyVault (redondant par région).
- Le Storage Account optionnel peut être sauvegardé automatiquement.
| - Sauvegardes régulières de la base de données de la CA
- Sauvegarde de la clé et de la configuration de la CA (exigences élevées de conformité et de sécurité)
| *Comme PKCS.* |
| **Sécurité** | - Conçu selon une approche Zero-Trust (cloud-native)
- Utilisation de schémas d’authentification de pointe
- Révocation automatique des certificats en temps réel avec OCSP (erreur humaine impossible)
| - Conçu pour une utilisation sur site
- Vulnérable à "l’attaque certifried"
- Surface d’attaque accrue en raison d’un canal de communication supplémentaire entre la CA (ressource de niveau 0) et Internet
- Surface d’attaque accrue en raison de l’utilisation de comptes sur site et cloud
- L’actualité de la CRL dépend de l’intervalle d’actualisation
- OCSP est basé sur la CRL et pas en temps réel
| Comme PKCS.
|
| **Flexibilité** | - Utilisation d’interfaces standardisées (SCEP, OCSP, REST)
- Prise en charge de plusieurs solutions MDM
| - Seul Intune est pris en charge
- L’interface RPC propriétaire permet l’inscription automatique des certificats sur les clients hérités joints au domaine
| - Prise en charge de plusieurs solutions MDM possible (une instance NDES supplémentaire est requise)
|
\*: Point de distribution de la CRL