Certificate Connector

セットアップ作業量

< 30分

• コア機能のための3ステップ展開手順 コア機能のために

> 2 - 3日

• CDP* の設計と実装

• 証明書テンプレートの構成

• 構成の互換性 – GPO、サービスアカウント、コネクターのバージョン、...

> + 2日

PKCSに加えて：

• NDES用の追加サーバー

• 各証明書種類ごとに1台のNDESサーバー

• さらに2つの証明書テンプレート

• デバッグが困難

PKIの保守

• Azureでの自動ヘルス監視

• CDPの監視

• 証明書コネクターの監視

PKCSに加えて：

• 手動の登録エージェント証明書の更新

サーバー保守

• 自動更新 / パッチ

• オペレーティングシステムの更新

• 監視

PKCSに加えて：

• 少なくとも1台の追加サーバー分のOS更新と監視

証明書管理 発行、更新、失効

• 完全自動の登録と更新

• 完全自動の失効処理

• 手動での失効オプション

• 完全自動の登録と更新

• 手動での失効（データベース検索が困難）

PKCSと同様。

可用性

単一設計

• App Service SLA：稼働率 > 99.95%

冗長設計

• Traffic Manager SLA：稼働率 > 99.99%

複数の障害モード：

• 仮想化プラットフォーム

• オペレーティングシステム

• CDPウェブサーバー

冗長設計

• 待機CAサーバー

• 追加のCDPウェブサーバー

• バックアップ用証明書コネクターの待機サーバー

PKCSと同様。

冗長設計

• 追加のNDESサーバー

スケーラビリティ

• オートスケーリングまたは数クリックでの手動スケーリング

• 1つのSCEPman CAで任意の数のクライアントに対応可能。

• オートスケーリングなし

• スケーリングにはCAクラスターが必要

• 複雑な手動スケーリング

PKCSと同様。

• NDESサーバー複製のためのさらなる作業

バックアップ

• SCEPmanはコア機能に関してステートレスであり、つまりバックアップは不要です。

• SCEPmanのルートCAは暗黙的にAzure Key Vault（リージョン冗長）によってバックアップされます。

• オプションのストレージアカウントは自動的にバックアップ可能です。

• 定期的なCAデータベースのバックアップ

• CAキーと構成のバックアップ（高いコンプライアンスおよびセキュリティ要件）

PKCSと同様。

セキュリティ

• ゼロトラストアプローチ（クラウドネイティブ）に基づいて設計

• 最新の認証スキームの使用

• OCSPによるリアルタイムの自動証明書失効（人的ミスが起こり得ない）

• オンプレミス使用向けに設計

• 脆弱性："証明書化された攻撃"

• CA（ティア0資産）とインターネット間の追加通信チャネルにより攻撃対象領域が増加

• オンプレミスとクラウドのアカウント使用により攻撃対象領域が増加

• CRLの最新性は更新間隔に依存する

• OCSPはCRLに基づいており、 リアルタイムではない

PKCSと同様。

• NDESへの着信アクセスが必要（ティア0資産)

柔軟性

• 標準化されたインターフェースの使用（SCEP、OCSP、REST）

• 複数のMDMソリューションのサポート

• Intuneのみがサポートされる

• 独自のRPCインターフェースにより、レガシーのドメイン参加クライアントでの証明書自動登録が可能

• 複数のMDMソリューションのサポートは可能（追加のNDESインスタンスが必要）