# Certificate Connector | カテゴリ | SCEPman | PKCS を使用した Microsoft CA | SCEP を使用した NDES | | ----------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **セットアップの工数** |

< 30 分

3 ステップのデプロイ手順基本機能向け

> 2 ～ 3 日

CDP\* の設計と実装
証明書テンプレートの構成
構成の互換性 – GPO、サービスアカウント、コネクタのバージョン、...

> + 2 日

PKCS に加えて:

NDES 用の追加サーバー
証明書の種類ごとに 1 台の NDES サーバー
追加の証明書テンプレート 2 つ
デバッグが難しい

| | **PKI の保守** |

Azure での自動ヘルス監視

CDP の監視
証明書コネクタの監視

PKCS に加えて:

Enrollment Agent 証明書の手動更新

| | **サーバーの保守** |

自動更新 / パッチ適用

オペレーティングシステムの更新
監視

PKCS に加えて:

少なくとも 1 台の追加サーバーに対するオペレーティングシステムの更新と監視

| |

証明書管理
発行、更新、失効

完全自動化された登録と更新
完全自動化された失効
手動失効オプション

完全自動化された登録と更新
手動失効（データベースでの検索が難しい）

| *PKCS と同様。* | | **可用性** |

単一構成

App Service SLA: > 99.95 % の稼働率

冗長構成

Traffic Manager SLA: > 99.99 % の稼働率

複数の障害モード:

仮想化プラットフォーム
オペレーティングシステム
CDP Web サーバー

冗長構成

待機系 CA サーバー
追加の CDP Web サーバー
バックアップ用証明書コネクタの待機系サーバー

PKCS と同様。

冗長構成

追加の NDES サーバー

| | **スケーラビリティ** |

自動スケーリングなし
スケーリングには CA クラスターが必要
複雑な手動スケーリング

PKCS と同様。

NDES サーバーの複製にさらなる工数が必要

| | **バックアップ** |

SCEPman は基本機能についてステートレス、つまりバックアップは不要です。
SCEPman Root CA は Azure KeyVault（リージョン冗長）によって暗黙的にバックアップされます。
オプションの Storage Account は自動的にバックアップできます。

定期的な CA データベースのバックアップ
CA キーと構成のバックアップ（高いコンプライアンスおよびセキュリティ要件）

| *PKCS と同様。* | | **セキュリティ** |

ゼロトラストアプローチに基づいて設計（クラウドネイティブ）
最先端の認証方式の使用
OCSP によるリアルタイムの自動証明書失効（人的ミスは不可能）

オンプレミスでの使用向けに設計
「certifried attack"
CA（tier 0 asset）とインターネット間に追加の通信チャネルがあるため、攻撃対象領域が拡大
オンプレミスアカウントとクラウドアカウントの使用により、攻撃対象領域が拡大
CRL の最新性は更新間隔に依存
OCSP は CRL に基づいており リアルタイムではない

PKCS と同様。

NDES への受信アクセスが必要（tier 0 asset)

| | **柔軟性** |

標準化されたインターフェース（SCEP、OCSP、REST）の使用
複数の MDM ソリューションをサポート

Intune のみサポート
独自の RPC インターフェースにより、レガシーなドメイン参加クライアントでの証明書の自動登録が可能

複数の MDM ソリューションのサポートが可能（追加の NDES インスタンスが必要）

| \*: CRL Distribution Point --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/ja/sono/faqs/certificate-connector.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.