ปรับใช้ PKI สําหรับการเข้าถึงระยะไกล
Contoso สามารถใช้ใบรับรองดิจิทัลเพื่อตรวจสอบและรับรองความถูกต้องของข้อมูลประจําตัวของแต่ละฝ่ายที่เกี่ยวข้องในการทําธุรกรรมทางอิเล็กทรอนิกส์ นอกจากนี้ ใบรับรองดิจิทัลยังช่วยสร้างความน่าเชื่อถือระหว่างคอมพิวเตอร์และโปรแกรมประยุกต์ที่สอดคล้องกันซึ่งโฮสต์อยู่บนเซิร์ฟเวอร์ของโปรแกรมประยุกต์ การเข้าถึงระยะไกลใช้ใบรับรองเพื่อตรวจสอบข้อมูลประจําตัวของเซิร์ฟเวอร์และให้การเข้ารหัสลับ Contoso ยังสามารถใช้ใบรับรองเพื่อตรวจสอบข้อมูลประจําตัวของผู้ใช้หรือคอมพิวเตอร์ที่ลงชื่อเข้าใช้สําหรับการเข้าถึงระยะไกล
วิธีการขอรับใบรับรอง
ในกรณีส่วนใหญ่ คุณได้รับใบรับรองจากผู้ออกใบรับรอง (CA) ข้อควรพิจารณาที่สําคัญที่สุดสําหรับ CA คือความน่าเชื่อถือ ถ้ามีการออกใบรับรองโดย CA ที่เชื่อถือได้ ใบรับรองนั้นจะได้รับความเชื่อถือและสามารถใช้สําหรับการรับรองความถูกต้องได้ ถ้า CA ไม่ได้รับความเชื่อถือ คุณจะไม่สามารถใช้ใบรับรองที่ออกโดย CA ดังกล่าวสําหรับการรับรองความถูกต้องได้
หากต้องการรับใบรับรอง คุณสามารถ:
- สร้าง CA ส่วนตัวของคุณเองโดยใช้ Windows Server ใบรับรองที่ออกโดย CA ส่วนตัวจะได้รับความเชื่อถือโดยอัตโนมัติจากไคลเอ็นต์และเซิร์ฟเวอร์ของ Windows ที่เข้าร่วมโดเมน อย่างไรก็ตาม ใบรับรองที่ออกโดย CA ภายในจะไม่ได้รับความเชื่อถือโดยอัตโนมัติจากอุปกรณ์ใดๆ ที่ไม่ได้เข้าร่วมในโดเมน
- ซื้อใบรับรองจาก CA สาธารณะ ใบรับรองที่ออกโดย CA สาธารณะจะได้รับความเชื่อถือโดยอัตโนมัติจากอุปกรณ์เกือบทุกเครื่องไม่ว่าพวกเขาจะเข้าร่วมโดเมนหรือไม่ Windows ไม่มีเครื่องมือในการปรับใช้ใบรับรองจาก CA สาธารณะไปยังผู้ใช้หรือคอมพิวเตอร์โดยอัตโนมัติ
- สร้างใบรับรองแบบลงนามด้วยตนเองภายในแอปพลิเคชันบางรายการ ตามค่าเริ่มต้น ใบรับรองเหล่านี้จะได้รับความเชื่อถือจากเซิร์ฟเวอร์ที่ออกเท่านั้น และไม่เชื่อถือโดยคอมพิวเตอร์เครื่องอื่นในองค์กร
- สร้างใบรับรองแบบลงนามด้วยตนเองโดยใช้ PowerShell คุณสามารถใช้
New-SelfSignedCertificatecmdlet เพื่อสร้างใบรับรองแบบลงนามด้วยตนเองใหม่ได้
หมายเหตุ
คุณใช้ใบรับรองแบบลงชื่อด้วยตนเองในองค์กรขนาดเล็กและขนาดกลางที่ใช้ DirectAccess ที่กําหนดค่าด้วย Getting Started Wizard ซึ่งช่วยให้สามารถตั้งค่าและกําหนดค่าได้ง่าย
ข้อควรพิจารณาเมื่อวางแผน PKI
เมื่อต้องการตรวจสอบว่าคุณควรใช้ PKI ภายในสําหรับการเข้าถึงระยะไกลหรือไม่ คุณจําเป็นต้องวางแผนวิธีที่คุณจะใช้ใบรับรอง หากคุณกําลังใช้ใบรับรองเฉพาะในบางเซิร์ฟเวอร์เท่านั้น ค่าใช้จ่ายในการใช้ CA สาธารณะจะต่ํา ใบรับรองจาก CA สาธารณะจะเป็นประโยชน์หากคุณคาดหวังว่าอุปกรณ์ที่ไม่ได้เข้าร่วมโดเมนเพื่อเข้าถึงเซิร์ฟเวอร์
CA ส่วนตัวจะเป็นประโยชน์สําหรับการเข้าถึงระยะไกลเป็นหลักเมื่อคุณออกใบรับรองไปยังอุปกรณ์ไคลเอ็นต์และผู้ใช้แต่ละรายสําหรับการรับรองความถูกต้อง ตัวอย่างเช่น เป็นเรื่องปกติที่จะต้องใช้ใบรับรองคอมพิวเตอร์ที่ถูกต้องเพื่ออนุญาตให้เข้าถึง VPN เป็นระดับที่สองของการรับรองความถูกต้องนอกเหนือจากชื่อผู้ใช้และรหัสผ่าน ถ้าคุณกําลังออกใบรับรองไปยังคอมพิวเตอร์หลายเครื่อง ดังนั้นการลงทะเบียนอัตโนมัติที่ได้รับจาก CA ส่วนตัวเป็นสิ่งสําคัญ นอกจากนี้ยังมีการประหยัดค่าใช้จ่ายที่สําคัญเนื่องจากคุณไม่จําเป็นต้องชําระเงินสําหรับใบรับรองที่ออกโดย CA ส่วนตัว
ตารางต่อไปนี้สรุปข้อดีและข้อเสียของใบรับรองที่ออกโดย CAs ส่วนตัวและสาธารณะ
| ชนิด CA | ประโยชน์ | ข้อเสีย |
|---|---|---|
| CA ส่วนตัว | CA ส่วนตัวให้การควบคุมการจัดการใบรับรองได้ดียิ่งขึ้นและมีค่าใช้จ่ายต่ํากว่าเมื่อเทียบกับ CA สาธารณะ ไม่มีค่าใช้จ่ายต่อใบรับรอง นอกจากนี้คุณยังมีตัวเลือกในการใช้เทมเพลตแบบกําหนดเองและการลงทะเบียนอัตโนมัติ | ตามค่าเริ่มต้น ใบรับรองโดย CAs ส่วนตัวไม่ได้รับความเชื่อถือจากไคลเอ็นต์ภายนอก (เว็บเบราว์เซอร์และระบบปฏิบัติการ) และจําเป็นต้องมีการดูแลมากกว่า |
| CA สาธารณะ | ใบรับรองที่ออกโดย CA สาธารณะได้รับความเชื่อถือจากไคลเอ็นต์ภายนอกจํานวนมาก (เว็บเบราว์เซอร์และระบบปฏิบัติการ) และต้องการการดูแลระบบน้อยที่สุด | ค่าใช้จ่ายจะสูงกว่าเมื่อเปรียบเทียบกับ CA ส่วนตัว ค่าใช้จ่ายขึ้นอยู่กับใบรับรอง การจัดซื้อใบรับรองช้าลงเช่นกัน |