GlobalSign Blog

16 jul. 2019

Wat houdt Active Directory Certificate Services in en waarom zou ik het moeten gebruiken?

Ontelbare organisaties gebruiken Windows Server als basis voor hun IT-infrastructuur. Talloze organisaties gebruiken PKI ook voor verschillende beveiligingsbehoeften (zoals het beveiligen van webservers [SSL], op certificaten gebaseerde authenticatie, digitale handtekeningen voor documenten en het coderen van e-mails [S/MIME]). We zijn echter vaak verrast om te horen hoeveel mensen niet weten dat deze twee kunnen worden gekoppeld. Active Directory Certificate Services (AD CS) invoeren.

Wat is Active Directory Certificate Services (AD CS)?

Volgens Microsoft zelf is AD CS de "Server-functie waarmee u een openbare sleutelinfrastructuur (PKI) kunt opzetten en cryptografie van openbare sleutels, digitale certificaten en mogelijkheden van digitale ondertekening voor uw organisatie kunt leveren."

Kortom, dit houdt in dat u in plaats van naar een externe Certificeringsinstantie (CA) te gaan om PKI-certificaten aan te schaffen en hun gehoste services te gebruiken, u dit werkelijk intern kunt regelen.

Voordelen van het Gebruik van Active Directory Certificate Services (AD CS)

Het gebruik van AD CS biedt een aantal voordelen, meestal betreffende certificaatbeheer.

  • Extraheren uit Active Directory - U kunt de bestaande informatie over de identiteit van het eindpunt die in AD aanwezig is gebruiken om zich voor certificaten te registreren (om herregistratie te voorkomen).
  • Gebruik maken van Bestaand Groepsbeleid - U kunt AD-Groepsbeleid configureren om te bepalen welke gebruikers en apparaten welke soorten certificaten mogen gebruiken.
  • Automatiseren van Certificatenuitgifte en Levenscyclusbeheer - Zodra een eindpunt voor het eerst online gaat, wordt er een verzoek naar AD verzonden om te controleren tot welke soorten certificaten (templates genaamd) het eindpunt op basis van het Groepsbeleid toegang heeft. Op basis van de resultaten van dat verzoek vraagt het eindpunt de juiste certificaten aan, die vervolgens naar het eindpunt worden teruggestuurd en geïnstalleerd. Certificaten kunnen worden ingesteld om automatisch te worden verlengd, waarmee de zorgen over onverwacht verlopen en lacunes in de dekking worden geëlimineerd.
  • Geruisloze Installatie - Zoals hierboven aangeduid, is het installatieproces automatisch en is er geen tussenkomst van de eindgebruiker (of IT) nodig.

De Nadelen van Active Directory Certificate Services (AD CS): Uw Eigen CA Uitvoeren

Nu, na de hierboven beschreven voordelen, denkt u misschien: "meld me aan!" Maar we kunnen het niet echt hebben over AD CS zonder het andere kritieke element van dit type PKI-configuratie te bespreken - de interne CA (d.w.z. Microsoft) die de certificaten levert. AD CS in het hierboven besproken scenario is een soort ober die aanvragen van eindpunten opneemt en de juiste certificaten aflevert en het is een uitstekende ober! Het is de "keuken" (d.w.z. Microsoft CA) waarvan het beheer wat kopzorgen kan geven.

We hebben de nadelen van het uitvoeren van een interne CA in het verleden behandeld, maar in het algemeen komen ze neer op dezelfde argumenten die u altijd tegenkomt wanneer u probeert om tussen uitbesteding of interne afhandeling te kiezen. Denk erover na. Zou u tijd, geld en middelen aan de ontwikkeling van een interne CRM wijden? Of zou u één van de vele, gemakkelijk verkrijgbare SaaS-opties gebruiken die door experts zijn ontworpen?

PKI voegt ook aanvullende overwegingen toe aan de discussie. Hier zijn slechts een paar voorbeelden:

  • Hardwarekosten - U moet uw root en privésleutels voor ondertekening op beveiligde hardware beschermen en opslaan (bijv. Hardware Security Module).
  • Validatie Services Onderhouden - U dient ervoor te zorgen dat u een manier heeft om de geldigheid van een certificaat te controleren, zoals het bijwerken van CRL's, het behouden van CRL's en het uitvoeren van OCSP-services.
  • Interne PKI-expertise - PKI is complex en de beste werkwijzen evolueren voortdurend. Hoe zorgt u ervoor dat u zich de naleving handhaaft?

Het Beste van Beide Werelden? Een Active Directory Integratie van een externe CA

Reeds geruime tijd, en sommige mensen denken dit waarschijnlijk nog steeds, was de enige manier om Active Directory voor PKI te gebruiken en al die geweldige voordelen te krijgen het gebruik van AD CS en het uitvoeren van uw eigen CA, maar de tijden zijn veranderd! Een paar openbare CA's (hoest - GlobalSign - hoest) bieden nu integraties met AD aan die u dezelfde administratieve en automatiseringsvoordelen bieden zonder de noodzaak om een CA intern te beheren.

Met deze integraties kunt u AD en Groepsbeleid nog steeds gebruiken voor de registratie en toewijzing van certificaten, maar de aanvragen voor certificaten worden verzonden en beantwoord door de openbare SaaS-gebaseerde CA. Certificaten kunnen nog steeds automatisch worden verstrekt, vernieuwd en geruisloos worden geïnstalleerd.

Sommige organisaties willen de volledige controle behouden en over de interne middelen beschikken om een Microsoft CA te ondersteunen. Sommige niet, in welk geval het belangrijk is om te weten dat dit soort openbare CA-integraties bestaan. Het belangrijkste aandachtspunt hier is dat Active Directory een zeer krachtige tool kan zijn voor het gebruik van PKI, ongeacht hoe u dat doet.

Wilt u meer weten over het gebruik van Active Directory om PKI te automatiseren en implementaties van grote volumes mogelijk te maken? Bekijk ons recente webinar - "PKI: het Zwitserse Veiligheidszakmes”!

Share this Post

aeg-product-webinar-pic.jpg

Active Directory-integratie

PKI voor geautomatiseerd certificatenbeheer voor grote bedrijven

Lees het gegevensblad