主持人 > 博客 > 管理 > Microsoft 的证书颁发机构替代方案

Microsoft 的证书颁发机构替代方案

用户不能被信任。 大多数情况下,他们很懒,选择舒适而不是安全。 据统计,21%的人将工作账户密码写在纸上,50%的人在工作和个人服务上使用相同的密码。

环境也很恶劣。 74% 的组织允许将个人设备带到工作场所并连接到公司网络。 94% 的用户无法区分真实电子邮件和网络钓鱼电子邮件,11% 的用户点击了附件。

所有这些问题都可以通过企业公钥基础设施(PKI)解决,它提供邮件加密和身份验证,并用数字证书取代密码。 该基础架构可以在 Windows Server 上构建。 根据 来自微软的描述Active Directory 证书服务 (AD CS) 是一种服务器,允许您在组织中创建 PKI 并使用公钥加密、数字证书和数字签名。

但微软的解决方案相当昂贵。

Microsoft 私有 CA 的总拥有成本

Microsoft 的证书颁发机构替代方案
Microsoft CA 和 GlobalSign AEG 之间的拥有成本比较。

在许多情况下,创建相同的私有证书颁发机构但采用外部管理会更方便、更便宜。 这正是 GlobalSign 自动注册网关 (AEG) 解决的问题。 总拥有成本中不包括几项费用(设备采购、支持成本、员工培训等)。 节省的费用可以超过 总拥有成本的 50%.

什么是AEG

Microsoft 的证书颁发机构替代方案

自动注册网关 (AEG) 是一种软件服务,充当 SaaS GlobalSign 证书服务和 Windows 企业环境之间的网关。

AEG 与 Active Directory 集成,使组织能够在 Windows 环境中自动注册、配置和管理 GlobalSign 数字证书。 通过使用 GlobalSign 服务替换内部 CA,企业可以提高安全性并降低管理复杂且昂贵的内部 Microsoft CA 的成本。

GlobalSign SaaS 证书服务是比您自己的基础设施上的弱证书和非托管证书更可靠的选择。 消除管理资源密集型内部 CA 的需要可降低 PKI 的总拥有成本以及系统故障的风险。

对 SCEP 和 ACME 协议的支持将支持扩展到 Windows 之外,包括为 Linux 服务器、移动设备、网络设备和其他设备以及在 Active Directory 中注册的 Apple OSX 计算机自动颁发证书。

增强的安全性

除了节省资金之外,外包 PKI 管理还提高了系统安全性。 正如 Aberdeen Group 研究指出的那样,证书越来越多地成为成功利用已知漏洞(例如不受信任的自签名证书、弱加密和繁琐的吊销机制)的攻击者的目标。 此外,攻击者还掌握了更复杂的漏洞,例如从受信任的 CA 欺诈性地颁发证书和伪造代码签名证书。

“大多数企业没有积极管理与这些攻击相关的风险,也没有准备好快速应对权衡,” написал Derek E. Brink,Aberdeen Group 副总裁兼 IT 安全研究员。 “通过使企业能够将证书管理的操作交给专家,同时保持企业对 Active Directory 中组策略的控制,GlobalSign 旨在通过以高效、成本低廉的方式解决实际安全和信任问题,确保证书使用的未来增长。 -有效的部署模型。”

AEG 的工作原理

Microsoft 的证书颁发机构替代方案

典型的 AEG 系统包括四个关键组件,以确保将正确的证书发送到正确的接入点:

  1. Windows 服务器上的 AEG 软件。
  2. 允许管理员管理和存储有关资源的信息的 Active Directory 服务器或域控制器。
  3. 端点:用户、设备、服务器和工作站——几乎任何作为数字证书“消费者”的实体。
  4. GlobalSign 证书颁发机构 (GCC) 位于受信任的证书颁发和管理平台之上。 这是生成证书的地方。

显示的四个组件中的三个位于客户端本地,第四个位于云中。

首先,使用组策略预先配置端点:例如,用于用户身份验证的证书验证、证书的 S/MIME 请求等 - 用于后续与 AEG 服务器的连接。 通过 HTTPS 连接是安全的。

AEG 服务器通过 LDAP 查询 Active Directory 以获取这些端点的证书模板列表,并将该列表以及 CA 的位置发送到客户端。 收到这些规则后,端点再次连接到 AEG 服务器,这次是请求实际的证书。 反过来,AEG 创建具有指定参数的 API 调用,并将其发送到 GlobalSign 证书颁发机构或 GCC 进行处理。

最后,GCC 后端通常在几秒钟内处理请求,并发送 API 响应以及将根据请求安装在端点上的证书。

整个过程只需几秒钟,并且可以通过配置端点使用组策略自动获取证书来完全自动化。

AEG 独特功能

  • 您可以通过 MDM 平台进行注册。
  • 由 Microsoft Crypto 团队的前员工开发。
  • 无需客户端的解决方案。
  • 简化实施和生命周期管理。

Microsoft 的证书颁发机构替代方案
架构示例

因此,通过 GlobalSign AEG 网关进行外部 PKI 管理意味着提高安全性、节省成本和降低风险。 另一个好处是易于扩展并提高性能。 正确管理的 PKI 可确保较长的正常运行时间,消除因证书无效而对关键操作造成的干扰,并为员工提供对公司网络的远程、安全访问。

AEG 支持需要双因素身份验证的广泛用例,从通过 VPN 和 Wi-Fi 访问网络的远程工作组客户端,到通过智能卡对高度敏感资源的特权访问。

GlobalSign 是为身份和访问管理提供云和网络 PKI 解决方案的全球领导者。 欲了解更多产品信息,请联系 我们的经理.

来源: habr.com

添加评论