Certificate Connector

Esforço de configuração

< 30 minutos

• procedimento de implantação em 3 etapas para a funcionalidade principal

> 2 - 3 dias

• conceção e implementação de CDP*

• configuração dos modelos de certificado

• compatibilidade da configuração – GPOs, contas de serviço, versões do conector, ...

> + 2 dias

Além de PKCS:

• Servidor(es) adicional(is) para NDES

• Um servidor NDES para cada tipo de certificado

• Dois modelos de certificado adicionais

• Difícil de depurar

Manutenção de PKI

• monitorização automática do estado de funcionamento no Azure

• Monitorização de CDP

• Monitorização do Conector de Certificados

Além de PKCS:

• renovação manual do certificado do Agente de Registo

Manutenção do servidor

• atualizações / patches automáticos

• atualizações do sistema operativo

• Monitorização

Além de PKCS:

• atualizações e monitorização do sistema operativo para pelo menos um servidor adicional

Gestão de certificados emissão, renovação, revogação

• registo e renovação totalmente automatizados

• revogação totalmente automatizada

• opção de revogação manual

• registo e renovação totalmente automatizados

• revogação manual (difícil pesquisar na base de dados)

Como PKCS.

Disponibilidade

Design singular

• SLA do App Service: > 99,95 % de tempo de atividade

Design redundante

• SLA do Traffic Manager: > 99,99 % de tempo de atividade

Vários modos de falha:

• plataforma de virtualização

• sistema operativo

• servidor web do CDP

Design redundante

• servidor CA em espera

• servidores web de CDP adicionais

• servidor em espera para o Conector de Certificados de backup

Como PKCS.

Design redundante

• servidores NDES adicionais

Escalabilidade

• Escalonamento automático ou escalonamento manual com alguns cliques

• Sirva qualquer número de clientes com um CA SCEPman.

• Sem escalonamento automático

• O escalonamento requer um cluster de CA

• Escalonamento manual complexo

Como PKCS.

• Esforço adicional para duplicar servidores NDES

Backup

• O SCEPman é sem estado para a funcionalidade principal, ou seja, não é necessário backup.

• A Root CA do SCEPman é implicitamente respaldada pelo Azure KeyVault (com redundância regional).

• A Storage Account opcional pode ser copiada automaticamente.

• Backups regulares da base de dados da CA

• Backup da chave e da configuração da CA (elevados requisitos de conformidade e segurança)

Como PKCS.

Segurança

• Concebido com base na abordagem Zero Trust (nativo da cloud)

• Utilização de esquemas de autenticação de última geração

• Revogação automática de certificados em tempo real com OCSP (erro humano impossível)

• Concebido para utilização on-premises

• Susceptível a "certifried attack"

• Superfície de ataque aumentada devido a canal de comunicação adicional entre a CA (ativo de nível 0) e a internet

• Superfície de ataque aumentada devido à utilização de contas on-premises e na cloud

• A atualidade do CRL depende do intervalo de atualização

• O OCSP baseia-se em CRL e não em tempo real

Como PKCS.

• Requer acesso de entrada para NDES (ativo de nível 0)

Flexibilidade

• Utilização de interfaces padronizadas (SCEP, OCSP, REST)

• Suporte de múltiplas soluções MDM

• Apenas o Intune é suportado

• A interface RPC proprietária permite o registo automático de certificados em clientes legados associados ao domínio

• É possível o suporte de múltiplas soluções MDM (é necessária uma instância adicional de NDES)