Connecteur de certificats

Effort d'installation

< 30 minutes

• Procédure de déploiement en 3 étapes pour les fonctionnalités de base

> 2 - 3 jours

• Conception et mise en œuvre du CDP*

• Configuration des modèles de certificats

• Compatibilité de configuration – GPOs, comptes de service, versions du connecteur, ...

> + 2 jours

En plus de PKCS :

• Serveur(s) supplémentaire(s) pour NDES

• Un serveur NDES pour chaque type de certificat

• Deux modèles de certificats supplémentaires

• Difficile à déboguer

Maintenance de la PKI

• Surveillance automatique de l'état dans Azure

• Surveillance du CDP

• Surveillance du connecteur de certificats

En plus de PKCS :

• Renouvellement manuel du certificat de l'agent d'enrôlement

Maintenance des serveurs

• Mises à jour / correctifs automatiques

• Mises à jour du système d'exploitation

• Surveillance

En plus de PKCS :

• Mises à jour du système d'exploitation et surveillance d'au moins un serveur supplémentaire

Gestion des certificats Émission, renouvellement, révocation

• Enrôlement et renouvellement entièrement automatisés

• Révocation entièrement automatisée

• Option de révocation manuelle

• Enrôlement et renouvellement entièrement automatisés

• Révocation manuelle (difficile de rechercher dans la base de données)

Comme PKCS.

Disponibilité

Conception singulière

• SLA App Service : > 99,95 % de disponibilité

Conception redondante

• SLA Traffic Manager : > 99,99 % de disponibilité

Modes de défaillance multiples :

• Plateforme de virtualisation

• Système d'exploitation

• Serveur web CDP

Conception redondante

• Serveur CA en veille

• Serveurs web CDP supplémentaires

• Serveur de secours pour le connecteur de certificats de secours

Comme PKCS.

Conception redondante

• Serveurs NDES supplémentaires

Scalabilité

• Autoscaling ou montée en charge manuelle en quelques clics

• Desservir n'importe quel nombre de clients avec une seule CA SCEPman.

• Pas d'autoscaling

• La montée en charge nécessite un cluster CA

• Montée en charge manuelle complexe

Comme PKCS.

• Effort supplémentaire pour dupliquer les serveurs NDES

Sauvegarde

• SCEPman est sans état pour les fonctionnalités de base, c.-à-d. qu'aucune sauvegarde n'est requise.

• La CA racine SCEPman est implicitement sauvegardée par Azure KeyVault (redondance régionale).

• Le compte de stockage optionnel peut être sauvegardé automatiquement.

• Sauvegardes régulières de la base de données CA

• Sauvegarde de la clé CA et de la configuration (exigences élevées de conformité et de sécurité)

Comme PKCS.

Sécurité

• Conçu selon une approche Zero-Trust (natif cloud)

• Utilisation de schémas d'authentification de pointe

• Révocation automatique des certificats en temps réel avec OCSP (erreur humaine impossible)

• Conçu pour une utilisation sur site

• Susceptible aux "attaque certifiée"

• Surface d'attaque accrue en raison d'un canal de communication supplémentaire entre la CA (ressource de niveau 0) et Internet

• Surface d'attaque accrue due à l'utilisation de comptes sur site et cloud

• L'actualité de la CRL dépend de l'intervalle de rafraîchissement

• OCSP est basé sur la CRL et pas en temps réel

Comme PKCS.

• Nécessite un accès entrant à NDES (ressource de niveau 0)

Flexibilité

• Utilisation d'interfaces standardisées (SCEP, OCSP, REST)

• Prise en charge de plusieurs solutions MDM

• Seul Intune est pris en charge

• Une interface RPC propriétaire permet l'enrôlement automatique de certificats sur des clients hérités joints au domaine

• Prise en charge possible de plusieurs solutions MDM (instance NDES supplémentaire requise)