Een PKI implementeren voor externe toegang
Contoso kan digitale certificaten gebruiken om de identiteit te verifiëren en te verifiëren van elke partij die betrokken is bij een elektronische transactie. Digitale certificaten helpen ook bij het tot stand brengen van vertrouwen tussen computers en de bijbehorende toepassingen die worden gehost op toepassingsservers. Externe toegang maakt gebruik van certificaten om de identiteit van servers te verifiëren en versleuteling te bieden. Contoso kan ook certificaten gebruiken om de identiteit te verifiëren van gebruikers of computers die zich aanmelden voor externe toegang.
Methoden voor het verkrijgen van certificaten
In de meeste gevallen verkrijgt u certificaten van een certificeringsinstantie (CA). De belangrijkste overweging voor een CA is vertrouwen. Als een certificaat wordt uitgegeven door een vertrouwde CA, wordt dat certificaat vertrouwd en kan worden gebruikt voor verificatie. Als een CA niet wordt vertrouwd, kunnen de certificaten die zijn uitgegeven door die CA niet worden gebruikt voor verificatie.
Als u certificaten wilt verkrijgen, kunt u het volgende doen:
- Maak uw eigen privé-CA met Windows Server. De certificaten die zijn uitgegeven door een privé-CA, worden automatisch vertrouwd door Windows-clients en -servers die lid zijn van een domein. De certificaten die zijn uitgegeven door een interne CERTIFICERINGsinstantie, worden echter niet automatisch vertrouwd door apparaten die niet aan het domein zijn toegevoegd.
- Koop certificaten van een openbare CA. De certificaten die door een openbare CA worden uitgegeven, worden automatisch vertrouwd door bijna alle apparaten, ongeacht of ze lid zijn van een domein of niet. Windows bevat geen hulpprogramma's voor het automatisch implementeren van certificaten van een openbare CERTIFICERINGsinstantie voor gebruikers of computers.
- Genereer zelfondertekende certificaten in sommige toepassingen. Deze certificaten worden standaard alleen vertrouwd door de verlenende server en niet door andere computers in de organisatie.
- Zelfondertekende certificaten genereren met behulp van PowerShell. U kunt de
New-SelfSignedCertificatecmdlet gebruiken om een nieuw zelfondertekend certificaat te genereren.
Opmerking
U gebruikt zelfondertekende certificaten in kleine en middelgrote organisaties die DirectAccess gebruiken die zijn geconfigureerd met de wizard Aan de slag, waarmee u eenvoudig kunt instellen en configureren.
Overwegingen bij het plannen van PKI
Als u wilt bepalen of u een interne PKI voor externe toegang moet implementeren, moet u plannen hoe u certificaten gaat gebruiken. Als u alleen certificaten op een paar servers gebruikt, zijn de kosten voor het gebruik van een openbare CA laag. Certificaten van een openbare CA zijn ook nuttig als u verwacht dat apparaten die niet aan het domein zijn toegevoegd, toegang hebben tot de servers.
Een privé-CA is vooral nuttig voor externe toegang wanneer u certificaten uitgeeft aan clientapparaten en afzonderlijke gebruikers voor verificatie. Het is bijvoorbeeld gebruikelijk om een geldig computercertificaat te vereisen om VPN-toegang toe te staan als een tweede verificatieniveau buiten een gebruikersnaam en wachtwoord. Als u certificaten uitgeeft op veel computers, is de automatische inschrijving van een privé-CA belangrijk. Er is ook een aanzienlijke kostenbesparing omdat u niet hoeft te betalen voor certificaten die zijn uitgegeven door een privé-CA.
De volgende tabel bevat een overzicht van de voor- en nadelen van certificaten die zijn uitgegeven door particuliere en openbare CA's.
| CA-type | Voordelen | Nadelen |
|---|---|---|
| Privé-Certificeringsinstantie (CA) | Een privé-CA biedt meer controle over certificaatbeheer en heeft lagere kosten in vergelijking met een openbare CA. Er zijn geen kosten per certificaat. U kunt ook aangepaste sjablonen en automatische inschrijving gebruiken. | Certificaten door privé-CA's worden standaard niet vertrouwd door externe clients (webbrowsers en besturingssystemen) en vereisen meer beheer. |
| Openbare CA | Een certificaat dat is uitgegeven door een openbare CA wordt vertrouwd door veel externe clients (webbrowsers en besturingssystemen) en vereist minimaal beheer. | De kosten zijn hoger in vergelijking met een privé-CA. Kosten worden per certificaat gebaseerd. Het aanschaffen van certificaten verloopt ook langzamer. |