我目前正在实施 EAP/TLS WIFI 实施来替换我们的 EAP/MSCHAP2 wifi 实施。我使用的是 Windows Server 2008,并且已经安装了证书颁发机构。使用组策略推送用户证书。无线网络策略也使用组策略推送。一切正常,客户端上的 wifi 连接一切正常。
我确实注意到 CA 服务器会为登录到域的每台设备创建一个新的用户证书。因此,假设您有 2 台笔记本电脑,并且它们都以同一用户身份登录到域,那么它们都将安装一个唯一的用户证书。尽管一切正常并且不会造成任何问题,但我真的很想知道这背后的整个想法是什么。
我希望每个用户都有 1 个证书,如果新设备登录到域,则会颁发相同的证书。如果笔记本电脑被盗,很容易撤销用户证书并创建新证书。在当前情况下,我需要弄清楚需要撤销哪个证书,但我觉得这不对。有人告诉我,这为“企业”提供了更多的灵活性,但我仍然不明白这一点。如果您出于某种原因想要拥有多个用户证书(即将它们用于不同的场景),则可以使用不同的子证书颁发机构轻松解决此问题,我觉得这是一个合适的解决方案。除此之外,证书还用于对用户进行身份验证。如果您使用用户名/密码系统实现相同的推理/逻辑(即,同一用户的每台笔记本电脑都有不同的密码),人们会认为这非常愚蠢。
所以,我完全不明白这一点。有人能解释一下这是为什么吗?是否可以这样实现,即 CA 将向使用相同用户名向域进行身份验证的每个设备重新颁发相同的证书?
答案1
我假设你没有使用漫游用户配置文件、AppData 文件夹重定向或凭证漫游在您的环境中。这些功能将允许用户的证书在计算机之间移动时“跟随”他们。由于您没有使用任何这些功能,因此需要创建新证书。旧证书无法“重新颁发”,因为用户正在使用的后续计算机上不存在私钥。
我已阅读了在客户端计算机之间“漫游”凭据的三种方法,以了解哪一种方法最适合您的环境。