这是我在 SO 的第一个问题,所以如果它不符合标准或不合适或其他任何问题,请告诉我,我会尝试修复。
我正在为以下场景寻找最佳解决方案。我有一个拥有相当数量用户的 Windows Server 2008 域。其中一些用户需要能够通过 Internet 连接到 WCF 服务;WCF 服务驻留在域中。我希望这些用户使用客户端证书进行身份验证,并且我希望能够将这些证书映射到他们的 AD 帐户。这些用户或代表他们的其他用户应该能够通过 Web 界面获取证书。证书供应应该是完全自动化的。
我的问题是:这种情况是否涉及设置 AD 证书服务,或者我可以为需要它们的用户创建和分发自签名证书?
AD 证书服务解决方案似乎是一个需要更多工作的更广泛的设置。此外,我看不到任何成熟的 PKI 可以派上用场的未来场景。自签名证书选项似乎是更实用的解决方案。另一方面,如果此解决方案要求我将每一个证书都放在托管 WCF 服务的服务器的 Trusted Persons 存储中,那么它很快就会成为主要的管理负担。(但不确定是否需要这样做,因为我正在将证书映射到 AD 用户。)此外,基于一个下午的网络搜索,自动化这个解决方案似乎有点复杂。当然,证书是自签名的,但假设分发渠道是安全的,这似乎不是问题。
所以,简而言之:我想以正确的方式做到这一点,但我不想过度设计解决方案。关于我应该采取的路线的任何想法?提前感谢您的任何建议。