Menerapkan PKI untuk akses jarak jauh

Selesai

Contoso dapat menggunakan sertifikat digital untuk memverifikasi dan mengautentikasi identitas setiap pihak yang terlibat dalam transaksi elektronik. Sertifikat digital juga membantu membangun kepercayaan antara komputer dan aplikasi terkait yang dihosting di server aplikasi. Akses jarak jauh menggunakan sertifikat untuk memverifikasi identitas server dan menyediakan enkripsi. Contoso juga dapat menggunakan sertifikat untuk memverifikasi identitas pengguna atau komputer yang masuk untuk akses jarak jauh.

Metode untuk mendapatkan sertifikat

Dalam kebanyakan kasus, Anda mendapatkan sertifikat dari otoritas sertifikasi (CA). Pertimbangan terpenting untuk CA adalah kepercayaan. Jika sertifikat dikeluarkan oleh CA tepercaya, sertifikat tersebut tepercaya dan dapat digunakan untuk autentikasi. Jika CA tidak tepercaya, sertifikat yang dikeluarkan oleh CA tersebut tidak dapat digunakan untuk autentikasi.

Untuk mendapatkan sertifikat, Anda dapat:

• Buat CA privat Anda sendiri dengan menggunakan Windows Server. Sertifikat yang dikeluarkan oleh CA privat secara otomatis dipercaya oleh klien dan server Windows yang bergabung dengan domain. Namun, sertifikat yang dikeluarkan oleh CA internal tidak secara otomatis dipercaya oleh perangkat apa pun yang tidak bergabung ke domain.
• Beli sertifikat dari CA publik. Sertifikat yang dikeluarkan oleh CA publik dipercaya secara otomatis oleh hampir semua perangkat apakah sertifikat tersebut bergabung dengan domain atau tidak. Windows tidak menyertakan alat untuk menyebarkan sertifikat secara otomatis dari CA publik ke pengguna atau komputer.
• Buat sertifikat yang ditandatangani sendiri dalam beberapa aplikasi. Secara default, sertifikat ini hanya dipercaya oleh server penerbit dan bukan oleh komputer lain dalam organisasi.
• Buat sertifikat yang ditandatangani sendiri dengan menggunakan PowerShell. Anda dapat menggunakan New-SelfSignedCertificate cmdlet untuk menghasilkan sertifikat baru yang ditandatangani sendiri.

Nota

Anda menggunakan sertifikat yang ditandatangani sendiri di organisasi kecil dan menengah yang menggunakan DirectAccess yang dikonfigurasi dengan Wizard Memulai, yang menyediakan penyiapan dan konfigurasi yang mudah.

Pertimbangan saat merencanakan PKI

Untuk menentukan apakah Anda harus menerapkan PKI internal untuk akses jarak jauh, Anda perlu merencanakan bagaimana Anda akan menggunakan sertifikat. Jika Anda hanya menggunakan sertifikat di beberapa server, maka biaya penggunaan CA publik rendah. Sertifikat dari CA publik juga bermanfaat jika Anda mengharapkan perangkat yang tidak bergabung ke domain untuk mengakses server.

CA privat terutama bermanfaat untuk akses jarak jauh saat Anda mengeluarkan sertifikat ke perangkat klien dan pengguna individual untuk autentikasi. Misalnya, adalah umum untuk mewajibkan sertifikat komputer yang valid untuk memungkinkan akses VPN sebagai tingkat autentikasi kedua di luar nama pengguna dan kata sandi. Jika Anda mengeluarkan sertifikat ke banyak komputer, pendaftaran otomatis yang disediakan oleh CA privat penting. Ada juga penghematan biaya yang signifikan karena Anda tidak perlu membayar sertifikat yang dikeluarkan oleh CA privat.

Tabel berikut ini meringkas kelebihan dan kekurangan sertifikat yang dikeluarkan oleh CA privat dan publik.

Jenis CA	Keuntungan	Kelemahan
CA Privat	CA privat memberikan kontrol yang lebih besar atas manajemen sertifikat dan memiliki biaya yang lebih rendah jika dibandingkan dengan CA publik. Tidak ada biaya per sertifikat. Anda juga memiliki opsi untuk menggunakan templat yang disesuaikan dan pendaftaran otomatis.	Secara default, sertifikat berdasarkan CA privat tidak dipercaya oleh klien eksternal (browser web dan sistem operasi) dan memerlukan administrasi yang lebih besar.
CA Publik	Sertifikat yang dikeluarkan oleh CA publik dipercaya oleh banyak klien eksternal (browser web dan sistem operasi) dan memerlukan administrasi minimal.	Biayanya lebih tinggi jika dibandingkan dengan CA privat. Biaya didasarkan per sertifikat. Pengadaan sertifikat juga lebih lambat.