Sie benötigen kein Active Directory und sind auf Server installierbar, die keiner Domäne angehören.
Allerdings sind einige Einschränkungen hinsichtlich der Benutzung gegeben:
nur "herkömmliche Zertifikatsformate" keine Zertifikatsvorlagen verwendbar;
Antragsteller müssen sich gesondert authentisieren;
der Zertifikatstyp ist genau zu definieren;
Antrag steht auf "pending" bis ein Administrator das Enrollment explizit genehmigt;
Manuelle Konfiguration notwendig, um Zertifikate und CRLs in einem Active Directory zu veröffentlichen;
PRAXIS
Offline Root CAs
Eine gute Eignung für Stammzertifizierungsstellen, ist eine Stand Alone CA, die offline betrieben wird, und somit Offline Root CAs genannt wird.
Nachteil ist das vollständige manuelle CRL-Handling mittels Webserver und auch das offline Stammzertifikat ist manuell im Active-Directory zu veröffentlichen.
Eine Webserververöffentlichung der CRLs ist auch bei Online CAs nur manuell oder per Skript möglich.
Autoenrollment
Impressum
