Почему Windows CA Server выдает несколько сертификатов для одного и того же пользователя?

Question

Почему Windows CA Server выдает несколько сертификатов для одного и того же пользователя?

В настоящее время я внедряю реализацию EAP/TLS WIFI, чтобы заменить нашу реализацию EAP/MSCHAP2 wifi. Я использую Windows Server 2008, и я установил центр сертификации. Пользовательские сертификаты выдвигаются с использованием групповой политики. Политика беспроводной сети также передается с использованием групповой политики. Все отлично работает и подключение к Wi-Fi все работает на клиентах.

Я заметил, что сервер CA создает новый сертификат пользователя для каждого устройства, которое входит в домен. Итак, давайте предположим, что у вас есть 2 ноутбука, и они оба входят в домен как один и тот же пользователь, у них обоих будет установлен уникальный сертификат пользователя. Несмотря на то, что все работает нормально и это не вызывает никаких проблем, мне действительно интересно, какова вся эта идея.

Я ожидаю, что у каждого пользователя есть 1 сертификат, и если новое устройство входит в домен, будет выдан тот же сертификат. В случае кражи ноутбука легко отозвать сертификат пользователя и создать новый. В текущем сценарии мне нужно выяснить, какой сертификат необходимо отозвать, а мне это кажется неправильным. Люди говорили мне, что это дает больше "корпоративной" гибкости, однако я до сих пор не вижу в этом смысла. Если по какой-либо причине вы хотите иметь несколько пользовательских сертификатов (то есть использовать их для разных сценариев), это можно легко решить с помощью другой подпрограммы, и для меня это кажется правильным решением. В дополнение к этому, сертификаты используются для аутентификации пользователя. Если бы вы внедрили ту же логику / логику, используя системы имени пользователя / пароля (т. Е. Каждый ноутбук имеет разные пароли для одного и того же пользователя), люди бы подумали, что это очень глупо.

Итак, я упускаю весь смысл этого. Может кто-нибудь уточнить, почему это так? Можно ли реализовать это таким образом, чтобы ЦС повторно выдавал один и тот же сертификат каждому устройству, которое проходит проверку подлинности в домене с использованием того же имени пользователя?

4

windows-server-2008 certificate-authority tls pki eap

Источник

gerwout 07 окт '14 в 15:12

1 ответ

Решение

Другие вопросы по тегам windows-server-2008 certificate-authority tls pki eap

Evan Anderson 07 окт '14 в 15:31 2014-10-07 15:31 · Accepted Answer · 2014-10-07 15:31

Я собираюсь предположить, что вы не используете перемещаемые профили пользователей, перенаправление папок AppData или роуминг учетных данных в вашей среде. Эти функции позволят сертификатам пользователей "следовать" за ними при перемещении между компьютерами. Поскольку вы не используете ни одну из этих функций, необходимо создавать новые сертификаты. Старые сертификаты не могут быть "переизданы", потому что закрытый ключ отсутствует на последующем компьютере, который использует пользователь.

Я ознакомился с тремя методами "роуминга" учетных данных между клиентскими компьютерами, чтобы узнать, какой из них лучше всего будет работать в вашей среде.