Conector de Certificados

Esforço de Configuração

< 30 minutos

• Procedimento de implementação em 3 etapas para funcionalidade central

> 2 - 3 dias

• Desenho e implementação do CDP*

• Configuração de Modelos de Certificado

• Compatibilidade de configuração – GPOs, Contas de Serviço, Versões do Conector, ...

> + 2 dias

Além do PKCS:

• Servidor(es) adicional(is) para NDES

• Um servidor NDES para cada tipo de certificado

• Dois Modelos de Certificado adicionais

• Difícil de depurar

Manutenção de PKI

• Monitoramento automático de integridade no Azure

• Monitoramento de CDP

• Monitoramento do Conector de Certificados

Além do PKCS:

• Renovação manual do certificado do Agente de Inscrição

Manutenção de Servidor

• Atualizações/patches automáticos

• Atualizações do sistema operacional

• Monitoramento

Além do PKCS:

• Atualizações do sistema operacional e monitoramento de pelo menos um servidor adicional

Gerenciamento de Certificados Emissão, renovação, revogação

• Inscrição e renovação totalmente automatizadas

• Revogação totalmente automatizada

• Opção de revogação manual

• Inscrição e renovação totalmente automatizadas

• Revogação manual (difícil pesquisar no banco de dados)

Como PKCS.

Disponibilidade

Design Singular

• SLA do App Service: > 99,95 % de disponibilidade

Design Redundante

• SLA do Traffic Manager: > 99,99 % de disponibilidade

Múltiplos modos de falha:

• Plataforma de virtualização

• Sistema operacional

• Servidor web de CDP

Design Redundante

• Servidor CA em espera

• Servidores web de CDP adicionais

• Servidor em espera para Conector de Certificados de backup

Como PKCS.

Design Redundante

• Servidores NDES adicionais

Escalabilidade

• Autoescalonamento ou escalonamento manual com alguns cliques

• Atende qualquer número de clientes com uma CA SCEPman.

• Sem autoescalonamento

• Escalonamento requer cluster de CA

• Escalonamento manual complexo

Como PKCS.

• Esforço adicional para duplicar servidores NDES

Backup

• O SCEPman é sem estado para funcionalidade central, ou seja, não é necessário backup.

• A Root CA do SCEPman é implicitamente armazenada em backup pelo Azure KeyVault (redundância regional).

• Conta de Armazenamento opcional pode ser respaldada automaticamente.

• Backups regulares do banco de dados da CA

• Backup da chave da CA e da configuração (requisitos elevados de conformidade e segurança)

Como PKCS.

Segurança

• Desenhado com base na abordagem Zero-Trust (nativo para nuvem)

• Uso de esquemas de autenticação de última geração

• Revogação automática de certificados em tempo real com OCSP (erro humano impossível)

• Desenhado para uso on-premises

• Suscetível a "ataque certifried"

• Aumento da superfície de ataque devido a canal de comunicação adicional entre a CA (ativo de nível 0) e a internet

• Aumento da superfície de ataque devido ao uso de contas on-premises e na nuvem

• Atualidade da CRL depende do intervalo de atualização

• OCSP baseia-se na CRL e não é em tempo real

Como PKCS.

• Requer acesso de entrada ao NDES (ativo de nível 0)

Flexibilidade

• Uso de interfaces padronizadas (SCEP, OCSP, REST)

• Suporte a múltiplas soluções MDM

• Apenas o Intune é suportado

• Interface RPC proprietária permite inscrição automática de certificados em clientes legados ingressados no domínio

• Suporte a múltiplas soluções MDM possível (instância NDES adicional necessária)