Каково различие между руководящими сертификатами для учетной записи пользователя и для учетной записи компьютера?
У нас есть некоторые присоединенные доменом компьютеры, которые не могли импортировать сторонний корневой сертификат как доверяемого поставщика сертификата. В попытке зафиксировать это, я заметил, что, когда мы идем для использования снимка управления сертификатом - в, мы получаем подсказку как в screenclip ниже.
Мой вопрос, в чем различие между учетной записью пользователя и учетной записью компьютера в снимке управления сертификатом-?
Разница именно в том, что написано. В Windows сертификаты назначаются учетным записям. Итак, если вы хотите применить сертификат к определенному компьютеру, это делается путем назначения сертификата учетной записи компьютера . Это небольшое различие, которое в основном чисто семантическое по сравнению с системами * nix, где пользовательский сертификат будет храниться где-то в каталоге пользователя, а компьютерный сертификат обычно находится где-то в системном каталоге.
Конечно, , как вы заметили в своей проблеме, разница в том, что учетная запись компьютера применяется к машине, а учетная запись пользователя применяется к пользователю. Если вам нужно, чтобы ваш компьютер был аутентифицирован с помощью криптографии с открытым ключом (например, сертификат SSL для https, как наиболее распространенный пример), сертификат должен быть связан с машиной , а не Пользователь. Если вы хотите аутентифицировать пользователя, а не всю машину, сертификат должен быть связан с пользователем.
С практической точки зрения, разница, которую вы увидите в оснастке управления сертификатами, заключается в том, какой "личный" хранилище сертификатов, которое вы видите и можете управлять - для учетной записи пользователя или для учетной записи компьютера ... или для учетной записи службы, если вы выберете ее. Как вы можете видеть на скриншоте ниже, на рабочей станции моей компании у моего пользователя есть сертификат для подписи кода, а у моего компьютера есть сертификат для аутентификации при использовании защищенных протоколов (RDP, HTTPS, TLS и т. Д.) - и они ' re различных хранилищ сертификатов, которые вы можете увидеть по разным путям.
В результате мой пользователь может подписывать сценарии PowerShell, которые я создаю, но моя машина не может. Это важно, потому что вся причина, по которой я установил сертификаты подписи кода, заключалась в том, что другие коллеги вызывали проблемы с развертыванием сломанных скриптов копировальной пасты на наши производственные серверы, и я не хочу, чтобы они обошли это, просто войдя в мою систему. машина. Точно так же мой пользователь не может претендовать на роль машины , потому что у моего пользователя нет сертификата моей машины.
Не спрашивайте меня, почему Microsoft не разработала систему управления сертификатами оснастки, чтобы вы могли просматривать хранилища личных сертификатов пользователя и одновременно в одном окне, но этого не делали. Я бы сделал это по-другому, если бы они спросили меня, но вместо этого они заплатили кому-то еще нечестивые суммы денег за что-то похуже.
Так что, потому что это имеет значение, каким «Личным» хранилищем сертификатов вы управляете, и Microsoft заплатила кому-то, кроме меня, за разработку и создание их оснастки для управления сертификатами. При добавлении этой оснастки вам нужно выбрать сертификаты учетной записи, которыми вы хотите управлять.