windows-server-2008 – 为什么Windows CA Server为同一个用户颁发多个证书?

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 为什么Windows CA Server为同一个用户颁发多个证书?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我目前正在实施EAP / TLS WIFI实施来取代我们的EAP / MSCHAP2 wifi实施.我正在使用 Windows Server 2008,并且我已经安装了证书颁发机构.使用组策略推送用户证书.还使用组策略推送无线网络策略.一切正常,连接到wifi都可以在客户端工作.

我注意到CA服务器为登录到域的每个设备创建了一个新的用户证书.因此,假设您有2台笔记本电脑,并且它们都以同一用户身份登录到域,它们都将具有已安装的唯一用户证书.尽管一切正常并且这不会导致任何问题,但我真的很想知道这背后的整个想法是什么.

我希望每个用户都有1个证书,如果新设备登录到域,则会发出相同的证书.如果笔记本电脑被盗,可以轻松撤销用户证书并创建新证书.在当前场景中,我需要确定需要撤销哪个证书,这对我来说是错误的.人们向我提到,这给了更多的“企业”灵活性,但是,我仍然没有看到这一点.如果您想出于任何原因拥有多个用户证书(即将它们用于不同的场景),这可以使用不同的子ca轻松解决,这对我来说就像是一个合适的解决方案.除此之外,证书还用于对用户进行身份验证.如果你使用用户名/密码系统实现相同的推理/逻辑(即每个笔记本电脑对同一个用户有不同的密码),人们会认为这是非常愚蠢的.

所以,我错过了这一点.有人可以澄清为什么会这样吗?是否可以通过CA将相同的证书重新颁发给使用相同用户名对域进行身份验证的每个设备的方式来实现?

我将假设你没有在你的环境中使用漫游用户配置文件,AppData文件重定向Credential Roaming.这些功能允许用户的证书在计算机之间移动时“跟随”它们.因为您没有使用任何这些功能,所以必须创建新证书.旧证书无法“重新颁发”,因为私钥不存在于用户正在使用的后续计算机上.

我将了解客户端计算机之间“漫游”凭据的三种方法,以了解哪种方法在您的环境中最有效.

猜你在找的Windows相关文章