В настоящее время я реализую реализацию EAP / TLS WIFI, чтобы заменить нашу реализацию Wi-Fi EAP / MSCHAP2. Я использую Windows Server 2008 и установил центр сертификации. Пользовательские сертификаты проталкиваются с использованием групповой политики. Политика беспроводной сети также передается с помощью групповой политики. Все работает нормально и подключение к Wi-Fi все работает на клиентах.
Я заметил, что сервер CA создает новый сертификат пользователя для каждого устройства, которое входит в домен. Итак, предположим, что у вас есть 2 портативных компьютера, и оба они входят в домен как один и тот же пользователь, у них обоих будет установлен уникальный сертификат пользователя. Несмотря на то, что все работает нормально и не вызывает никаких проблем, мне действительно интересно, в чем суть идеи.
Я ожидаю, что у каждого пользователя есть 1 сертификат, и если новое устройство войдет в домен, будет выдан тот же сертификат. Если ноутбук украден, пользовательский сертификат легко отозвать и создать новый. В текущем сценарии мне нужно выяснить, какой сертификат нужно отозвать, и мне это кажется неправильным. Мне говорили, что это дает больше «корпоративной» гибкости, но я все еще не вижу в этом смысла. Если вы хотите иметь несколько пользовательских сертификатов по какой-либо причине (то есть использовать их для разных сценариев), это можно легко решить с помощью другого вспомогательного CA, и это кажется мне подходящим решением. В дополнение к этому сертификаты используются для аутентификации пользователя. Если бы вы реализовали те же рассуждения / логику, используя системы имен пользователей / паролей (т.е. каждый ноутбук имеет другой пароль для одного и того же пользователя), люди подумали бы, что это очень глупо.
Итак, я упускаю из виду весь смысл этого. Может кто-нибудь прояснить, почему это так? Можно ли реализовать это таким образом, чтобы ЦС повторно выдавал один и тот же сертификат на каждое устройство, которое аутентифицируется в домене, используя то же имя пользователя?
Я собираюсь предположить, что вы не используете перемещаемые профили пользователей, перенаправление папок AppData или Учетный роуминг в вашем окружении. Эти функции позволят сертификатам пользователей «следовать» за ними при перемещении между компьютерами. Поскольку вы не используете ни одну из этих функций, необходимо создать новые сертификаты. Старые сертификаты не могут быть «повторно выпущены», поскольку закрытый ключ отсутствует на следующем компьютере, который использует пользователь.
Я бы прочитал о трех методах «роуминга» учетных данных между клиентскими компьютерами, чтобы увидеть, какой из них лучше всего работает в вашей среде.