When using 802.1x certificate-based authentication on Windows machines, should I use different certificate for each machine?
Sim, caso contrário, você também pode usar uma senha compartilhada. Ter um certificado diferente para cada máquina (ou usuário) é como impedir que os clientes descriptografem o tráfego uns dos outros.
If I should, how do I distribute these certificates for hundreds of computers? Does this always require manual intervention?
Na verdade, o método típico é um GPO que atribui à máquina um certificado assinado pela autoridade de certificação interna.
O que você está procurando é o Computer Configuration - > Windows Settings - > Security Settings - > Public Key Policies seção em Gerenciamento de Diretiva de Grupo.
Há um pouco de configuração envolvida de sua parte, mas uma vez que você a executa, ela é relativamente livre de manutenção e muito auto-mágica. Anexei uma captura de tela abaixo de nossas configurações de Política de Grupo relacionadas ao certificado para ter uma ideia do que está envolvido.
ObserveasconfiguraçõesdepolíticadegrupoWirelessNetwork(802.11)Policiesnãoexpandidas;Aquiéondeeudefinoaredesemfioedefinonossosclientessemfioparasejuntaremaelaautomaticamente.EutenhoalgumasAutoridadesdeCertificaçãoADDSconfiguradase,emseguida,tornadasconfiáveisportodasasmáquinasnoPublicKeyPolicies/TrustedRootCertificationAuthorities.Asolicitaçãodecertificadoégeradaautomaticamenteeosclientessãoregistradosautomaticamente,deacordocomomodelodecertificadodemáquinaquecriei(emnossasAutoridadesdeCertificação).
EssaconfiguraçãosignificaqueoscomputadoresprecisamseconectaraodomínioeobterseucertificadoantesdeusararedesemfioautenticadapeloRADIUS,masissoétratadoquandoamáquinaéinicialmentecriadaeporquenormalmentenãoéumproblemaenviarcertificadosatravésdaDiretivadeGrupo-paraingressarnodomínio,vocêprecisaestaraptoaseconectaraele,portanto,umcertificadopodesercriadoeatribuídonessemomento.
Assimcomoumapalavradeadvertênciarápida,tenhacuidadocomasconfiguraçõesdeinscriçãoautomática(etesteprimeiro),