我目前正在实施EAP / TLS WIFI实施来取代我们的EAP / MSCHAP2 WIFI实施。 我正在使用Windows Server 2008,并且已经安装了证书颁发机构。 用户证书是使用组策略推送的。 无线networking策略也是使用组策略推送的。 一切工作正常,并连接到无线networking,所有的作品在客户端。
我注意到CA服务器为每个login到域的设备创build一个新的用户证书。 因此,我们假设您有两台笔记本电脑,并且都以同一用户身份login到域,它们都将具有唯一的已安装的用户证书。 即使这一切都正常,这不会造成任何问题,我真的很想知道这背后的全部想法是什么。
我期望每个用户都有一个证书,如果一个新的设备login到域,相同的证书将被发布。 如果笔记本电脑被盗,很容易撤销用户证书并创build一个新的。 在目前的情况下,我需要找出哪些证书需要撤销,这对我来说是错误的。 人们向我提到,这样做给了企业更多的灵活性,但是我还是看不到。 如果你想有多个用户证书,无论出于什么原因(例如,在不同的场景中使用它们),这可以很容易地使用不同的子CA来解决,这对我来说是一个合适的解决scheme。 除此之外,证书还用于对用户进行身份validation。 如果你使用用户名/密码系统实现相同的推理/逻辑(即每个笔记本电脑对同一用户有不同的密码),人们会认为这是非常愚蠢的。
所以,我错过了这一点。 有人可以澄清为什么这是? 是否有可能以一种方式实现这一点,即CA将重新颁发相同的证书给每个使用相同用户名对域进行身份validation的设备?
我将假设您没有在您的环境中使用漫游用户configuration文件,AppData文件夹redirect或Credential漫游 。 这些function将允许用户的证书在计算机之间移动时“跟随”他们。 由于您没有使用任何这些function,所以需要创build新的证书。 旧的证书不能被“重新发布”,因为私人密钥不存在于用户正在使用的后续计算机上。
我想读一下这三种方法在客户端计算机之间“漫游”凭据,看看哪一种方法在你的环境中效果最好。