Ho implementato una PKI CS di Windows AD a due livelli. Per 802.1x sto usando autoenroll per distribuire automaticamente certificati di computer a qualsiasi computer connesso al dominio.
Attualmente utilizzo un modello di computer singolo per tutti i computer, sia server che workstation. Questo modello include autenticazione client, autenticazione server e EKU di autenticazione desktop remoto.
Per le workstation, l'autenticazione del client è tutto ciò che è richiesto, ma gli EKU extra impostati nel certificato sono un problema di sicurezza?
(per impostazione predefinita non ci sono gruppi che separano i server dalle workstation, quindi non è possibile assegnare diversi modelli di certificati di registrazione automatica ai server e alle workstation. È possibile creare un gruppo di server e aggiungere server a questo gruppo, ma ciò aggiunge un'azione manuale aggiuntiva. )