管理用户帐户和计算机帐户的证书有什么区别?
dai*_*isy 2 windows certificate pki accounts
我们有一些加入域的计算机无法导入第三方根证书作为受信任的证书提供商。在尝试解决此问题时,我注意到当我们使用证书管理管理单元时,我们会收到如下屏幕剪辑所示的提示。
我的问题是,证书管理管理单元中的用户帐户和计算机帐户有什么区别?
区别正如它所说的那样。在 Windows 中,证书被分配给帐户。因此,如果您想将证书应用于特定计算机,可以通过将证书分配给计算机帐户来完成。与 *nix 系统相比,这是一个细微的差异,主要只是语义上的差异,在 *nix 系统中,用户证书将存储在用户目录中的某个位置,而计算机证书通常可以在系统目录中的某个位置找到。
当然,正如您在问题中注意到的那样,区别在于计算机帐户适用于计算机,而用户帐户适用于用户。如果您需要使用公钥加密对计算机进行身份验证(例如最常见的示例,https 的 SSL 证书),则证书需要与计算机而不是用户关联。如果您要验证的是用户而不是整台机器,则需要将证书与该用户关联。
实际上,您在证书管理管理单元中看到的区别在于您看到并能够管理哪个“个人”证书存储 - 用于用户帐户或计算机帐户...或用于服务帐户的证书存储,如果你选择那个。正如您在下面的屏幕剪辑中看到的,在我公司的工作站上,我的用户拥有用于代码签名目的的证书,并且我的计算机拥有用于在使用安全协议(RDP、HTTPS、TLS 等)时进行身份验证的证书 - 并且它们”它们是不同的证书存储,您可以从不同的路径中看到它们。
因此,我的用户可以对我创建的 PowerShell 脚本进行签名,但我的计算机却不能。这很重要,因为我设置代码签名证书的全部原因是因为其他同事在将损坏的复制意大利面脚本部署到我们的生产服务器时引起了问题,我不希望他们通过简单地登录到我的服务器来解决这个问题。机器。同样,我的用户不能声称自己是machine,因为我的用户没有我的机器证书。
不要问我为什么微软没有设计他们的证书管理管理单元,以便您可以在同一窗口中同时查看用户和计算机的个人证书存储,但他们没有这样做。如果他们问我的话,我会采取不同的做法,但相反,他们付给别人不敬虔的钱,却做了更糟糕的事情。
因此,由于您管理的“个人”证书存储会有所不同,并且 Microsoft 花钱请我以外的其他人来设计和创建其证书管理管理单元,因此您在添加证书时必须选择要管理的帐户证书。管理单元。
- 您只需在同一 MMC 控制台中添加证书管理单元的第二个(或更多)实例即可。一份用于计算机,一份用于用户。 (5认同)
- 答案是好的,但也许关于 UI(尤其是关于 UI 设计师的报酬)的咆哮可以被省略...... (3认同)
| 归档时间: |
|
| 查看次数: |
6522 次 |
| 最近记录: |