windows-server-2008 – 为什么Windows CA Server为同一个用户颁

我目前正在实施EAP / TLS WIFI实施来取代我们的EAP / MSCHAP2 wifi实施.我正在使用 Windows Server 2008,并且我已经安装了证书颁发机构.使用组策略推送用户证书.还使用组策略推送无线网络策略.一切正常,连接到wifi都可以在客户端工作.

我注意到CA服务器为登录到域的每个设备创建了一个新的用户证书.因此,假设您有2台笔记本电脑,并且它们都以同一用户身份登录到域,它们都将具有已安装的唯一用户证书.尽管一切正常并且这不会导致任何问题,但我真的很想知道这背后的整个想法是什么.

我希望每个用户都有1个证书,如果新设备登录到域,则会发出相同的证书.如果笔记本电脑被盗,可以轻松撤销用户证书并创建新证书.在当前场景中,我需要确定需要撤销哪个证书,这对我来说是错误的.人们向我提到,这给了更多的“企业”灵活性,但是,我仍然没有看到这一点.如果您想出于任何原因拥有多个用户证书(即将它们用于不同的场景),这可以使用不同的子ca轻松解决,这对我来说就像是一个合适的解决方案.除此之外,证书还用于对用户进行身份验证.如果你使用用户名/密码系统实现相同的推理/逻辑(即每个笔记本电脑对同一个用户有不同的密码),人们会认为这是非常愚蠢的.

所以,我错过了这一点.有人可以澄清为什么会这样吗？是否可以通过CA将相同的证书重新颁发给使用相同用户名对域进行身份验证的每个设备的方式来实现？