Почему Windows CA Server выпускает несколько сертификатов для того же пользователя?
Я в настоящее время реализую реализацию WI-FI EAP/TLS для замены нашей реализации Wi-Fi EAP/MSCHAP2. Я использую Windows Server 2008, и я установил центр сертификации. Пользовательские сертификаты продвинуты с помощью групповой политики. Политика беспроводной сети продвинута с помощью групповой политики также. Все хорошо работает и соединяющийся с Wi-Fi все работы над клиентами.
Я действительно замечал, что сервер CA создает новый пользовательский сертификат для каждого устройства, которое входит в систему домена. Так, давайте предположим, что у Вас есть 2 ноутбука и они оба вход в систему домена как тот же пользователь, у них оба будет уникальный пользовательский сертификат, который установлен. Даже при том, что все это хорошо работает, и это не вызывает проблем, я действительно задаюсь вопросом, какова вся эта мысль позади этого.
Я ожидал бы, что у каждого пользователя есть 1 сертификат и если новые файлы регистрации устройств на домене, тот же сертификат будет выпущен. Если ноутбук украден, легко отменить пользовательский сертификат и создать новый. В текущем сценарии я должен выяснить, какой сертификат должен быть отменен, и это чувствует себя неправильным мне. Люди упомянули мне, что это дает больше гибкости "предприятия", однако, я все еще не вижу точку. Если Вы хотите иметь многопользовательские сертификаты по любой причине (т.е. использовать их для различных сценариев), это может легко быть решено с помощью другого sub приблизительно, и это чувствует себя подобно надлежащему решению меня. В дополнение к этому сертификаты используются для аутентификации пользователя. Если Вы реализовали бы то же обоснование/логику с помощью систем имени пользователя/пароля (т.е. каждый ноутбук имеет различный пароль для того же пользователя), люди думали бы, что это очень глупо.
Так, я пропускаю смысл этого. Кто-то может разъяснить, почему это? Действительно ли возможно реализовать это способом, что CA переиздаст тот же сертификат каждому устройству, которое проходит проверку подлинности к домену с помощью того же имени пользователя?
Я предполагаю, что вы не используете Роуминг профилей пользователей, Переадресацию папок AppData или Основной Роуминг в своей среде. Эти функции позволят сертификатам пользователей "следовать" за ними при перемещении между компьютерами. Поскольку вы не используете ни одну из этих функций, необходимо создавать новые сертификаты. Старые сертификаты не могут быть "переизданы", потому что закрытый ключ отсутствует на последующем компьютере, который использует пользователь.
Я бы прочитал о трех способах "блуждающих" мандатов между клиентскими компьютерами, чтобы посмотреть, какой из них будет лучше работать в вашей среде.
.