Я использую службы сертификатов AD для выдачи сертификатов компьютеров подключенным к домену компьютерам Windows (как серверам, так и рабочим станциям). Эти сертификаты получают в процессе автоматической регистрации, определяемом Active Directory.
Мой вопрос: если у этих компьютерных сертификатов есть правильные данные OID, есть ли причина не использовать их для привязок https на серверах, на которых работает IIS? Все системы, обращающиеся к этим веб-серверам, являются внутренними и будут доверять ADCS PKI.
Изменить: Чтобы быть ясным, я конкретно спрашиваю об использовании сертификата компьютера, выданного как часть членства в домене.
Нет никаких проблем с запуском локальных сертификатов. Многие предприятия используют внутренние центры сертификации, такие как службы сертификации AD, для управления и автоматизации создания сертификатов для своих серверов. Это так же безопасно, как и общедоступный ЦС, если вы распространяете сертификаты своим клиентам и сохраняете секретные ключи в безопасности и конфиденциальности.
есть ли причина не использовать их для привязок https на серверах с IIS?
Нет.
Откуда берется сертификат, не имеет значения, если ему доверяют и есть соответствующие расширения x509 для того, для чего вы собираетесь его использовать.