В чем разница между управлением сертификатами для учетной записи пользователя и для учетной записи компьютера?
У нас есть несколько компьютеров, подключенных к домену, которые не смогли импортировать сторонний корневой сертификат в качестве надежного поставщика сертификатов. Пытаясь исправить это, я заметил, что когда мы переходим к использованию оснастки управления сертификатами, мы получаем подсказку, как в скриншоте ниже.
Мой вопрос: в чем разница между учетной записью пользователя и учетной записью компьютера в оснастке управления сертификатами?
Разница именно в том, что написано. В Windows сертификаты назначаются учетным записям. Итак, если вы хотите применить сертификат к определенному компьютеру, это делается путем назначения сертификата компьютеру. учетная запись. Это небольшое различие, которое в основном просто семантическое по сравнению с системами * nix, где пользовательский сертификат будет храниться где-то в каталоге пользователя, а сертификат компьютера обычно находится где-то в системном каталоге.
Конечно, как вы заметили в своей проблеме, разница в том, что учетная запись компьютера применяется к машине, а учетная запись пользователя применяется к пользователю. Если тебе нужен твой машина для аутентификации с использованием криптографии с открытым ключом (например, сертификата SSL для https, как наиболее распространенный пример), сертификат должен быть связан с машина, а не пользователь. Если вы хотите аутентифицировать пользователя, а не всю машину, сертификат необходимо связать с пользователем.
Фактически, разница, которую вы увидите в оснастке управления сертификатами, заключается в том, какое «личное» хранилище сертификатов вы видите и можете управлять - для учетной записи пользователя или учетной записи компьютера ... или для учетной записи службы, если вы выберете тот. Как вы можете видеть на скриншоте ниже, на рабочей станции моей компании у моего пользователя есть сертификат для подписи кода, а у моего компьютера есть сертификат для аутентификации при использовании защищенных протоколов (RDP, HTTPS, TLS и т. Д.) - и они ' re различных хранилищ сертификатов, которые вы можете увидеть по разным путям.
В результате мой пользователь может подписывать сценарии PowerShell, которые я создаю, но мои машина не может. Это важно, потому что вся причина, по которой я установил сертификаты подписи кода, заключалась в том, что другие коллеги вызывали проблемы с развертыванием сломанных скриптов копировальной пасты на наши производственные серверы, и я не хочу, чтобы они обошли это, просто войдя в мою систему. машина. Точно так же мой пользователь не может претендовать на то, чтобы быть машина, потому что у моего пользователя нет сертификата моей машины.
Не спрашивайте меня, почему Microsoft не разработала свою оснастку для управления сертификатами так, чтобы вы могли видеть пользователя и личный сертификат машины одновременно сохраняется в том же окне, но этого не произошло. Я бы сделал это по-другому, если бы они спросили меня, но вместо этого они заплатили кому-то еще нечестивые суммы денег за что-то похуже.
Так как имеет значение, каким «личным» хранилищем сертификатов вы управляете, и Microsoft заплатила кому-то, кроме меня, за разработку и создание их оснастки для управления сертификатами, вам нужно выбрать сертификаты учетной записи, которыми вы хотите управлять, когда добавляете оснастка.