Qual é a diferença entre gerenciar certificados para uma conta de usuário e para uma conta de computador?

1

Temos alguns computadores ingressados no domínio que não conseguiram importar um certificado raiz de terceiros como um provedor de certificados confiáveis. Ao tentar consertar isso, notei que quando usamos o snap-in de gerenciamento de certificados, obtemos um prompt como no screenclip abaixo.

Minha pergunta é: qual é a diferença entre a conta do usuário e a conta do computador no snap-in de gerenciamento de certificados?

    
por daisy 07.01.2013 / 12:16

1 resposta

4

A diferença é exatamente o que diz. Com o Windows, os certificados são atribuídos a contas. Portanto, se você deseja aplicar um certificado a um computador específico, isso é feito atribuindo o certificado ao computador conta . Esta é uma pequena diferença que é principalmente apenas semântica quando comparada aos sistemas * nix, onde um certificado de usuário seria armazenado no diretório do usuário em algum lugar, e um certificado de computador normalmente seria encontrado em um diretório do sistema em algum lugar.

É claro que, como você percebeu com o seu problema, a diferença é que a conta do computador se aplica à máquina e a conta do usuário se aplica ao usuário. Se você precisa que sua máquina seja autenticada com criptografia de chave pública (como um certificado SSL para https, como o exemplo mais comum), o certificado precisa estar associado à máquina não o usuário. Se for um usuário que você deseja autenticar, em vez de toda a máquina, o certificado precisa estar associado ao usuário.

Na prática, a diferença que você verá no snap-in de gerenciamento de certificados é o armazenamento de certificados "pessoal" que você vê e é capaz de gerenciar - o da conta do usuário ou da conta do computador ... ou por um conta de serviço, se você selecionar essa. Como você pode ver no screenclip abaixo, na minha estação de trabalho da empresa, meu usuário tem um certificado para fins de assinatura de código e meu computador tem um certificado para autenticação ao usar protocolos seguros (RDP, HTTPS, TLS etc.). re lojas de certificados diferentes, que você pode ver em seus diferentes caminhos.

Como resultado, meu usuário pode assinar os scripts do PowerShell que eu criei, mas minha máquina não pode. Isso é importante, porque a razão por que configurei certificados de assinatura de código foi porque outros colegas de trabalho estavam causando problemas ao implantar scripts de pasta de cópia quebrados em nossos servidores de produção, e não quero que eles resolvam isso simplesmente acessando o meu máquina. Da mesma forma, meu usuário não pode reivindicar ser máquina , porque meu usuário não tem meu certificado de máquina.

NãomepergunteporqueaMicrosoftnãoprojetouseusnap-indegerenciamentodecertificadosparaquevocêpudessevisualizarosearmazenamentosdecertificadospessoaisdamáquinaaomesmotemponamesmajanela,maselesnãofizeram.Euteriafeitoissodeformadiferente,seelesmeperguntassem,mas,emvezdisso,elespagavamaalguémmaisdoquedinheiroporalgopior.

Portanto,comofazadiferençanoarmazenamentodecertificados"pessoais" que você está gerenciando e a Microsoft pagou outra pessoa além de mim para projetar e criar o snap-in de gerenciamento de certificados, você precisa selecionar quais certificados deseja gerenciar você adiciona o snap-in.

    
por 14.02.2015 / 23:45