802.1x证书，EAP-TLS，RADIUS和Windows机器

在Windows计算机上使用基于802.1x证书的身份validation时，是否应为每台计算机使用不同的证书？

是的，否则你可能会使用共享的密钥。 为每台机器（或用户）提供不同的证书，就是如何防止客户端能够解密彼此的stream量。

如果我应该如何为数百台电脑分发这些证书？ 这是否总是需要人工干预？

实际上，典型的方法是为机器分配由内部authentication机构签发的证书的GPO。

您正在寻找的是组策略pipe理下的Computer Configuration – > Windows Settings – > Security Settings – > Public Key Policies部分。

您的设置涉及相当一部分，但一旦运行，它就相对免维护，而且非常自动化。 我附上了与证书相关的组策略设置的屏幕截图，让您了解涉及的内容。

注意未扩展的Wireless Network (802.11) Policies组策略设置; 这是我定义无线networking并将无线客户端设置为自动join的地方。 我有几个ADDS证书颁发机构设置，然后由Public Key Policies/Trusted Root Certification Authorities中的所有机器Public Key Policies/Trusted Root Certification Authorities 。 证书请求是自动生成的，客户端根据我创build的机器证书模板自动注册（在我们的证书颁发机构上）。

这种设置意味着计算机必须连接到域，并获得他们的证书， 然后才能使用RADIUSauthentication的无线networking，但这是在机器最初映像时处理的，为什么通常没有问题通过通过证书组策略 – 要join域，必须能够连接到域，以便当时可以创build和分配证书。

就像快速警告一样，要小心这些自动注册设置（并先testing）， 否则你可能会像我笨屁股一样，成千上万的证书，你不能撤销 ，因为你发出每一个login和启动新的一个。 （哎呀！）