Geekly articles weekly

替代Microsoft证书颁发机构

无法信任用户。 他们大多数人都是懒惰的,他们选择舒适而不是安全。 据统计,有21%的人从工作帐户上写下他们的密码,50%的人表示工作和个人服务的密码相同。

环境也是不利的。 允许74%的组织将个人设备带入工作并连接到公司网络。 94%的用户无法区分真实邮件和网络钓鱼邮件,其中11%的用户单击了附件。

企业公钥基础结构(PKI)解决了所有这些问题,该基础结构提供了邮件的加密和身份验证,并用数字证书替换了密码。 可以在Windows Server上提高此基础结构。 如Microsoft所述 ,Active Directory证书服务(AD CS)是一台服务器,使您可以在组织中创建PKI并使用公用密钥加密,数字证书和数字签名。

但是Microsoft的解决方案非常昂贵。

微软的私人证书颁发机构的总拥有成本



比较Microsoft CA和GlobalSign AEG的拥有成本。 来源

在许多情况下,创建相同的私有证书颁发机构但使用外部管理会更方便且更便宜。 这正是GlobalSign自动注册网关(AEG)所解决的。 总拥有成本(设备购买,支持成本,员工培训等)中不包括几项支出。 节省的费用可能超过总拥有成本的50%

什么是AEG




自动注册网关 (AEG)是一种软件服务,可充当SaaS GlobalSign证书服务与企业Windows环境之间的网关。

AEG与Active Directory集成在一起,使组织能够在Windows环境中自动执行GlobalSign数字证书的注册,设置和管理。 通过用GlobalSign服务替换内部证书颁发机构,企业可以提高安全性并降低管理复杂而昂贵的Microsoft内部证书颁发机构的成本。

与您自己的基础架构上的弱证书和不受管理的证书相比,GlobalSign SaaS证书服务是更可靠的选择。 消除了管理资源密集型内部CA的需要,降低了PKI的总体拥有成本以及系统崩溃的风险。

SCEP和ACME协议支持扩展了对Windows的支持,包括为Linux服务器,移动设备,网络和其他设备以及在Active Directory中注册的Apple OSX计算机自动颁发证书。

增强安全性


除节省预算外,带外PKI管理还提高了系统安全性。 正如Aberdeen Group的一项研究所述,证书正日益成为攻击者的目标:它们成功利用了众所周知的漏洞,例如不受信任的自签名证书,弱加密和繁琐的吊销机制。 此外,攻击者已经掌握了更复杂的漏洞利用方法,例如从受信任的CA欺诈性颁发证书以及用于签名代码的伪造证书。

Aberdeen Group副总裁兼研究安全官Derek E. Brink 写道: “大多数企业都没有积极管理与这些攻击相关的风险,还没有准备好对入侵做出快速反应。” “ GlobalSign通过为企业提供将证书管理的操作方面转移到专家手中的机会,同时保持对Active Directory中组策略的企业控制,力求在证书的使用方面提供未来的增长,以高效,经济高效的部署模型解决实际的安全性和信任问题。”

AEG如何运作




典型的AEG系统包括四个关键组件,以确保将正确的证书转移到正确的访问点:

  1. Windows服务器上的AEG软件。
  2. 允许管理员管理和存储资源信息的Active Directory服务器或域控制器。
  3. 端点:用户,设备,服务器和工作站-几乎是“数字证书”使用者的任何对象。
  4. GlobalSign证书颁发机构或GCC,位于受信任的证书和管理平台之上。 这是生成证书的地方。

所示的四个组件中的三个位于客户端的本地环境中,第四个在云中。

首先,使用组策略对端点进行预配置:例如,通过检查用于用户身份验证的证书,对证书的S / MIME请求,等等,以随后连接到AEG服务器。 通过HTTPS进行连接是安全的。

AEG服务器通过LDAP向Active Directory发送请求,以获取这些端点的证书模板列表,并将此列表与证书颁发机构的位置一起发送给客户端。 收到这些规则后,端点将重新连接到AEG服务器,这一次是为了请求实际的证书。 反过来,AEG用指定的参数创建一个API调用,并将其发送给GlobalSign认证机构或GCC进行处理。

最后,GCC的服务器端通常在几秒钟内处理请求,并发送API响应以及将根据请求在端点安装的证书。

整个过程需要几秒钟,并且可以通过将端点配置为使用组策略自动获取证书来实现完全自动化。

AEG的独特功能


  • 您可以通过MDM平台进行注册。
  • 由Microsoft Crypto团队的前雇员开发。
  • 解决方案“没有客户”。
  • 简化的实施和生命周期管理。


建筑实例

因此,通过GlobalSign AEG网关进行外部PKI管理意味着提高了安全性,节省了成本并降低了风险。 另一个优点是易于扩展和提高性能。 正确的PKI管理可确保较长的正常运行时间,消除了由于无效证书而导致的关键操作中断,并为员工提供了对公司网络的远程安全访问。

AEG支持多种需要两方面身份验证的用例:从通过VPN和Wi-Fi访问网络的远程工作组客户端,到对高度敏感的智能卡资源的特权访问。


GlobalSign是提供云和网络PKI身份和访问管理解决方案的全球领导者。 您可以在我们的经理处指定有关产品的更多详细信息。

Source: https://habr.com/ru/post/zh-CN470093/

More articles:


All Articles