為什麼 Windows CA Server 會為同一個使用者頒發多個證書?
我目前正在實施 EAP/TLS WIFI 實施來替換我們的 EAP/MSCHAP2 wifi 實施。我正在使用 Windows Server 2008 並且我已經安裝了證書頒發機構。使用組策略推送使用者證書。無線網路策略也使用組策略推送。一切正常,連接到 wifi 的所有客戶端都可以正常工作。
我確實注意到 CA 伺服器為每個登錄到域的設備創建了一個新的使用者證書。因此,假設您有 2 台筆記型電腦,並且它們都以同一使用者身份登錄到域,它們都將安裝一個唯一的使用者證書。儘管一切正常並且這不會造成任何問題,但我真的很想知道這背後的整個想法是什麼。
我希望每個使用者都有 1 個證書,如果新設備登錄到域,將頒發相同的證書。如果筆記型電腦被盜,很容易撤銷使用者證書並創建一個新證書。在目前情況下,我需要弄清楚需要撤銷哪個證書,這對我來說是錯誤的。人們向我提到,這提供了更多的“企業”靈活性,但是,我仍然不明白這一點。如果您出於某種原因想要擁有多個使用者證書(即,將它們用於不同的場景),則可以使用不同的子 ca 輕鬆解決,這對我來說是一個合適的解決方案。除此之外,證書還用於對使用者進行身份驗證。如果您使用使用者名/密碼系統實現相同的推理/邏輯(即
所以,我錯過了這一點。有人可以澄清這是為什麼嗎?是否可以通過 CA 向使用相同使用者名對域進行身份驗證的每個設備重新頒發相同的證書來實現這一點?
我將假設您沒有在您的環境中使用漫遊使用者配置文件、AppData 文件夾重定向或憑據漫遊。這些功能將允許使用者的證書在他們在電腦之間移動時“跟隨”他們。因為您沒有使用任何這些功能,所以需要創建新證書。舊證書不能“重新頒發”,因為私鑰不存在於使用者正在使用的後續電腦上。
我已經閱讀了在客戶端電腦之間“漫遊”憑據的三種方法,以查看哪種方法最適合您的環境。