这是我在SO的第一个问题,所以如果不符合标准或不合适的地方,请告诉我,我会尽力修复。
我正在为以下场景寻找最佳解决方案。我有一个Windows Server 2008域,拥有相当数量的用户。其中一些用户需要能够通过Internet连接到WCF服务; WCF服务驻留在域中。我希望这些用户使用客户端证书进行身份验证,我希望能够将这些证书映射到他们的AD帐户。这些用户或代表他们的其他用户应该能够通过Web界面获取证书。证书配置应完全自动化。
我的问题是:这种情况是否涉及设置AD证书服务,还是可以为需要它们的用户创建和分发自签名证书?
AD证书服务解决方案似乎是一个需要更多工作的更广泛的设置。此外,我没有看到任何未来的情况,完整的PKI可以派上用场。自签名证书选项似乎是更实用的解决方案。另一方面,如果此解决方案要求我将每个证书放在托管WCF服务的服务器的受信任人员存储中,则很快就会成为主要的管理负担。 (不确定是否需要这样做,因为我将证书映射到AD用户。)此外,基于搜索网络的下午,自动化此解决方案似乎有点复杂。当然,证书将是自签名的,但假设分销渠道是安全的,这似乎不是问题。
所以,简而言之:我想以正确的方式做到这一点,但我不想过度设计解决方案。我应该采取哪些路线的想法?提前感谢任何建议。