主持人 > 博客 > 管理 > Microsoft 的證書頒發機構替代方案

Microsoft 的證書頒發機構替代方案

用戶不可信任。 在大多數情況下,他們很懶惰,選擇舒適而不是安全。 據統計,21% 的人將工作賬戶密碼寫在紙上,50% 的工作和個人服務密碼相同。

環境也很惡劣。 74% 的組織允許個人設備工作並連接到公司網絡。 94% 的用戶無法區分真實電子郵件和網絡釣魚電子郵件,11% 的用戶點擊了附件。

所有這些問題都由企業公鑰基礎設施 (PKI) 解決,它提供郵件加密和身份驗證,並用數字證書代替密碼。 可以在 Windows Server 上構建此基礎架構。 根據 來自微軟的說明, Active Directory Certificate Services (AD CS) 是一種服務器,允許您在組織中創建 PKI 並使用公鑰加密、數字證書和數字簽名。

但微軟的解決方案相當昂貴。

Microsoft 私有 CA 的總擁有成本

Microsoft 的證書頒發機構替代方案
Microsoft CA 和 GlobalSign AEG 之間的擁有成本比較。

在許多情況下,創建相同的私有證書頒發機構更方便、成本更低,但需要外部管理。 這正是 GlobalSign 自動註冊網關 (AEG) 解決的問題。 幾項費用不包括在總擁有成本中(設備購買、支持費用、員工培訓等)。 儲蓄可以超過 總擁有成本的 50%.

什麼是AEG

Microsoft 的證書頒發機構替代方案

自動註冊網關 (AEG) 是一種軟件服務,充當 SaaS GlobalSign 證書服務和 Windows 企業環境之間的網關。

AEG 與 Active Directory 集成,允許組織在 Windows 環境中自動註冊、配置和管理 GlobalSign 數字證書。 通過將內部 CA 替換為 GlobalSign 服務,企業可以提高安全性並降低管理複雜且昂貴的內部 Microsoft CA 的成本。

GlobalSign SaaS 證書服務是比您自己的基礎設施上的弱證書和非託管證書更可靠的選擇。 消除管理資源密集型內部 CA 的需要降低了 PKI 的總擁有成本,以及系統故障的風險。

對 SCEP 和 ACME 協議的支持將支持擴展到 Windows 之外,包括為 Linux 服務器、移動設備、網絡設備和其他設備以及在 Active Directory 中註冊的 Apple OSX 計算機自動頒發證書。

Повышеннаябезопасность

除了節省資金外,外包 PKI 管理還提高了系統安全性。 正如 Aberdeen Group 研究指出的那樣,證書正越來越多地成為成功利用已知漏洞(例如不受信任的自簽名證書、弱加密和繁瑣的吊銷機制)的攻擊者的目標。 此外,攻擊者還掌握了更複雜的攻擊手段,例如從受信任的 CA 以欺詐方式頒發證書和偽造代碼簽名證書。

“大多數企業沒有積極管理與這些攻擊相關的風險,也沒有準備好快速做出權衡取捨,” написал Aberdeen Group 副總裁兼 IT 安全研究員 Derek E. Brink。 “通過使企業能夠將證書管理的操作方面交給專家,同時保持企業對 Active Directory 中的組策略的控制,GlobalSign 旨在通過以高效、成本低廉的方式解決實際的安全和信任問題來確保證書使用的未來增長。 -有效的部署模型。”

AEG 的工作原理

Microsoft 的證書頒發機構替代方案

典型的 AEG 系統包括四個關鍵組件,以確保將正確的證書發送到正確的接入點:

  1. Windows 服務器上的 AEG 軟件。
  2. 允許管理員管理和存儲資源信息的 Active Directory 服務器或域控制器。
  3. 端點:用戶、設備、服務器和工作站——實際上是數字證書“消費者”的任何實體。
  4. GlobalSign 證書頒發機構或 GCC,位於受信任的證書頒發和管理平台之上。 這是生成證書的地方。

顯示的四個組件中的三個在客戶端本地,第四個在雲端。

首先,端點是使用組策略預先配置的:例如,用於用戶身份驗證的證書驗證、證書的 S/MIME 請求等等 - 用於後續連接到 AEG 服務器。 通過 HTTPS 連接是安全的。

AEG 服務器通過 LDAP 在 Active Directory 中查詢這些端點的證書模板列表,並將該列表與 CA 的位置一起發送給客戶端。 收到這些規則後,端點再次連接到 AEG 服務器,這次是請求實際的證書。 AEG 依次創建一個具有指定參數的 API 調用,並將其發送到 GlobalSign 證書頒發機構或 GCC 進行處理。

最後,GCC 後端通常會在幾秒鐘內處理請求,並發回 API 響應以及將根據請求安裝在端點上的證書。

整個過程只需幾秒鐘,並且可以通過將端點配置為使用組策略自動獲取證書來完全自動化。

AEG 獨特功能

  • 您可以通過 MDM 平台註冊。
  • 由 Microsoft Crypto 團隊的前僱員開發。
  • 沒有客戶端的解決方案。
  • 簡化實施和生命週期管理。

Microsoft 的證書頒發機構替代方案
架構示例

因此,通過 GlobalSign AEG 網關進行的外部 PKI 管理意味著更高的安全性、成本節約和風險降低。 另一個好處是易於擴展和提高性能。 妥善管理的 PKI 可確保較長的正常運行時間,消除因證書無效而導致的關鍵操作中斷,並為員工提供對公司網絡的遠程、安全訪問。

AEG 支持需要雙因素身份驗證的廣泛用例,從通過 VPN 和 Wi-Fi 訪問網絡的遠程工作組客戶端,到通過智能卡對高度敏感資源的特權訪問。

GlobalSign 是為身份和訪問管理提供雲和網絡 PKI 解決方案的全球領導者。 更多產品信息,請聯繫 我們的經理.

來源: www.habr.com

添加評論