Por que o Windows CA Server emite vários certificados para o mesmo usuário?

3

Atualmente, estou implementando uma implementação de EAP / TLS WIFI para substituir nossa implementação de wifi EAP / MSCHAP2. Estou usando o Windows Server 2008 e instalei uma autoridade de certificação. Os certificados do usuário são enviados usando a política de grupo. Uma diretiva de rede sem fio também é enviada usando a diretiva de grupo. Tudo funciona bem e conectando a wifi todos os trabalhos nos clientes.

Eu notei que o servidor da CA cria um novo certificado de usuário para cada dispositivo que faz logon no domínio. Portanto, vamos supor que você tenha dois laptops e eles façam logon no domínio como o mesmo usuário. Ambos terão um certificado de usuário exclusivo instalado. Mesmo que tudo funcione bem e isso não causa nenhum problema, estou realmente me perguntando qual é a idéia por trás disso.

Espero que cada usuário tenha 1 certificado e, se um novo dispositivo fizer login no domínio, o mesmo certificado será emitido. Se um laptop for roubado, é fácil revogar o certificado de usuário e criar um novo. No cenário atual, preciso descobrir qual certificado precisa ser revogado e isso parece errado para mim. As pessoas mencionaram para mim, que isso dá mais flexibilidade "empresarial", no entanto, eu ainda não vejo o ponto. Se você quiser ter vários certificados de usuário por qualquer motivo (por exemplo, usá-los em cenários diferentes), isso pode ser facilmente resolvido usando uma subc ca diferente e isso parece uma solução adequada para mim. Além disso, os certificados são usados para autenticar um usuário. Se você implementasse o mesmo raciocínio / lógica usando sistemas de nome de usuário / senha (ou seja, cada laptop tem uma senha diferente para o mesmo usuário), as pessoas pensariam que isso é muito estúpido.

Então, eu estou perdendo todo o sentido disso. Alguém pode esclarecer por que isso é? É possível implementar isso de forma que a CA reedite o mesmo certificado para cada dispositivo que se autentica no domínio usando o mesmo nome de usuário?

    
por gerwout 07.10.2014 / 17:12

1 resposta

3

Vou supor que você não esteja usando perfis de usuários móveis, redirecionamento de pastas AppData ou Roaming de credenciais em seu ambiente. Esses recursos permitiriam que os certificados dos usuários os "seguissem" enquanto se movem entre computadores. Como você não está usando nenhum desses recursos, é necessário que novos certificados sejam criados. Os certificados antigos não podem ser "reeditados" porque a chave privada não está presente no computador subseqüente que o usuário está usando.

Eu li os três métodos de credenciais de "roaming" entre os computadores clientes para ver qual deles funcionará melhor em seu ambiente.

    
por 07.10.2014 / 17:31