回答:
スタンドアロンCAとエンタープライズCAの間には大きな違いがあり、それぞれに使用シナリオがあります。
このタイプのCAは、次の機能を提供します。
エンタープライズCAをADフォレストにインストールすると、自動的にADに公開され、各ADフォレストメンバーはすぐにCAと通信して証明書を要求できます。
証明書テンプレートを使用すると、企業は発行された証明書をその用途などに応じて標準化できます。管理者は、必要な証明書テンプレートを(適切な設定を使用して)構成し、発行のためにCAに送信します。互換性のある受信者は手動の要求生成に煩わされる必要はありません。CryptoAPIプラットフォームは自動的に正しい証明書要求を準備し、CAに送信して発行された証明書を取得します。一部のリクエストプロパティが無効な場合、CAはそれらを証明書テンプレートまたはActive Directoryからの正しい値で上書きします。
エンタープライズCAのキラー機能です。自動登録により、構成済みテンプレートの証明書を自動的に登録できます。ユーザーの操作は必要ありません。すべてが自動的に行われます(もちろん、自動登録には初期構成が必要です)。
この機能はシステム管理者によって過小評価されていますが、ユーザー暗号化証明書のバックアップソースとして非常に価値があります。秘密鍵が失われた場合、必要に応じてCAデータベースから回復できます。そうしないと、暗号化されたコンテンツにアクセスできなくなります。
このタイプのCAは、エンタープライズCAが提供する機能を利用できません。あれは:
つまり、すべての要求を手動で準備し、証明書に含める必要のあるすべての情報を含める必要があります。証明書テンプレートの設定によっては、エンタープライズCAはキー情報のみを必要とする場合があり、残りの情報はCAによって自動的に取得されます。スタンドアロンCAは情報源がないため、それを行いません。リクエストは文字通り完全でなければなりません。
スタンドアロンCAは証明書テンプレートを使用しないため、要求に危険な情報が含まれていないことを確認するには、すべての要求をCAマネージャーが手動で確認する必要があります。
スタンドアロンCAはActive Directoryを必要としないため、これらの機能はこのタイプのCAでは無効になっています。
スタンドアロンCAは行き止まりに見えるかもしれませんが、そうではありません。エンタープライズCAは、エンドエンティティ(ユーザー、デバイス)に証明書を発行するのに最適で、「大量、低コスト」のシナリオ向けに設計されています。
一方、スタンドアロンCAは、オフラインCAを含む「少量、高コスト」のシナリオに最適です。通常、スタンドアロンCAはルートおよびポリシーCAとして機能するために使用され、他のCAに対してのみ証明書を発行します。証明書のアクティビティは非常に少ないため、スタンドアロンCAを妥当な期間(6〜12か月)オフラインにして、新しいCRLを発行するか、新しい下位CA証明書に署名するためだけにオンにすることができます。オフラインにしておくことで、キーのセキュリティが強化されます。ベストプラクティスでは、スタンドアロンCAをネットワークに接続せず、優れた物理的セキュリティを提供することをお勧めします。
企業全体のPKIを実装するときは、オフラインのスタンドアロンルートCAと、Active Directoryで動作するオンラインのエンタープライズ下位CAを使用する2層PKIアプローチに焦点を当てる必要があります。
すでに述べたように、明らかにAD統合は大きなものです。ここで簡単な比較を見つけることができます。著者は次のように違いを要約します。
ドメイン内のコンピューターは、エンタープライズCAが発行する証明書を自動的に信頼します。スタンドアロンCAでは、グループポリシーを使用して、CAの自己署名証明書をドメイン内の各コンピューターの信頼されたルートCAストアに追加する必要があります。エンタープライズCAを使用すると、コンピューターの証明書を要求およびインストールするプロセスを自動化できます。また、Windows Server 2003 Enterprise EditionサーバーでエンタープライズCAを実行している場合は、自動登録機能を使用してユーザーの証明書の登録を自動化することもできます。
エンタープライズCAは企業に有用性を提供します(ただし、Active Directoryドメインサービスへのアクセスが必要です)。
証明書のサブジェクト名は、AD DSの情報から自動的に生成するか、要求者が明示的に指定できます。