# Certificate Connector | カテゴリ | SCEPman | PKCS を使用した Microsoft CA | SCEP を使用した NDES | | ----------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **セットアップの工数** |

< 30 分

3 ステップのデプロイ手順基本機能向け

> 2 ～ 3 日

CDP\* の設計と実装
証明書テンプレートの構成
構成の互換性 – GPO、サービスアカウント、コネクタのバージョン、...

> + 2 日

PKCS に加えて:

NDES 用の追加サーバー
証明書の種類ごとに 1 台の NDES サーバー
追加の証明書テンプレート 2 つ
デバッグが難しい

| | **PKI の保守** |

Azure での自動ヘルス監視

CDP の監視
証明書コネクタの監視

PKCS に加えて:

Enrollment Agent 証明書の手動更新

| | **サーバーの保守** |

自動更新 / パッチ適用

オペレーティングシステムの更新
監視

PKCS に加えて:

少なくとも 1 台の追加サーバーに対するオペレーティングシステムの更新と監視

| |

証明書管理
発行、更新、失効

完全自動化された登録と更新
完全自動化された失効
手動失効オプション

完全自動化された登録と更新
手動失効（データベースでの検索が難しい）

| *PKCS と同様。* | | **可用性** |

単一構成

App Service SLA: > 99.95 % の稼働率

冗長構成

Traffic Manager SLA: > 99.99 % の稼働率

複数の障害モード:

仮想化プラットフォーム
オペレーティングシステム
CDP Web サーバー

冗長構成

待機系 CA サーバー
追加の CDP Web サーバー
バックアップ用証明書コネクタの待機系サーバー

PKCS と同様。

冗長構成

追加の NDES サーバー

| | **スケーラビリティ** |

自動スケーリングなし
スケーリングには CA クラスターが必要
複雑な手動スケーリング

PKCS と同様。

NDES サーバーの複製にさらなる工数が必要

| | **バックアップ** |

SCEPman は基本機能についてステートレス、つまりバックアップは不要です。
SCEPman Root CA は Azure KeyVault（リージョン冗長）によって暗黙的にバックアップされます。
オプションの Storage Account は自動的にバックアップできます。

定期的な CA データベースのバックアップ
CA キーと構成のバックアップ（高いコンプライアンスおよびセキュリティ要件）

| *PKCS と同様。* | | **セキュリティ** |

ゼロトラストアプローチに基づいて設計（クラウドネイティブ）
最先端の認証方式の使用
OCSP によるリアルタイムの自動証明書失効（人的ミスは不可能）

オンプレミスでの使用向けに設計
「certifried attack"
CA（tier 0 asset）とインターネット間に追加の通信チャネルがあるため、攻撃対象領域が拡大
オンプレミスアカウントとクラウドアカウントの使用により、攻撃対象領域が拡大
CRL の最新性は更新間隔に依存
OCSP は CRL に基づいており リアルタイムではない

PKCS と同様。

NDES への受信アクセスが必要（tier 0 asset)

| | **柔軟性** |

標準化されたインターフェース（SCEP、OCSP、REST）の使用
複数の MDM ソリューションをサポート

Intune のみサポート
独自の RPC インターフェースにより、レガシーなドメイン参加クライアントでの証明書の自動登録が可能

複数の MDM ソリューションのサポートが可能（追加の NDES インスタンスが必要）

| \*: CRL Distribution Point