Atualmente, estou implementando uma implementação de EAP / TLS WIFI para substituir nossa implementação de wifi EAP / MSCHAP2. Estou usando o Windows Server 2008 e instalei uma autoridade de certificação. Os certificados do usuário são enviados usando a política de grupo. Uma diretiva de rede sem fio também é enviada usando a diretiva de grupo. Tudo funciona bem e conectando a wifi todos os trabalhos nos clientes.
Eu notei que o servidor da CA cria um novo certificado de usuário para cada dispositivo que faz logon no domínio. Portanto, vamos supor que você tenha dois laptops e eles façam logon no domínio como o mesmo usuário. Ambos terão um certificado de usuário exclusivo instalado. Mesmo que tudo funcione bem e isso não causa nenhum problema, estou realmente me perguntando qual é a idéia por trás disso.
Espero que cada usuário tenha 1 certificado e, se um novo dispositivo fizer login no domínio, o mesmo certificado será emitido. Se um laptop for roubado, é fácil revogar o certificado de usuário e criar um novo. No cenário atual, preciso descobrir qual certificado precisa ser revogado e isso parece errado para mim. As pessoas mencionaram para mim, que isso dá mais flexibilidade "empresarial", no entanto, eu ainda não vejo o ponto. Se você quiser ter vários certificados de usuário por qualquer motivo (por exemplo, usá-los em cenários diferentes), isso pode ser facilmente resolvido usando uma subc ca diferente e isso parece uma solução adequada para mim. Além disso, os certificados são usados para autenticar um usuário. Se você implementasse o mesmo raciocínio / lógica usando sistemas de nome de usuário / senha (ou seja, cada laptop tem uma senha diferente para o mesmo usuário), as pessoas pensariam que isso é muito estúpido.
Então, eu estou perdendo todo o sentido disso. Alguém pode esclarecer por que isso é? É possível implementar isso de forma que a CA reedite o mesmo certificado para cada dispositivo que se autentica no domínio usando o mesmo nome de usuário?