これは SO での私の最初の質問です。標準に達していない、場違いであるなどの場合は、お知らせください。修正を試みます。
次のシナリオの最適なソリューションを見つけようとしています。かなりの数のユーザーを保持している Windows Server 2008 ドメインがあります。これらのユーザーの一部は、インターネット経由で WCF サービスに接続できる必要があります。WCF サービスはドメインに存在します。これらのユーザーに認証にクライアント証明書を使用してもらい、これらの証明書を AD アカウントにマップできるようにしたいと考えています。これらのユーザー、またはその代理の別のユーザーは、Web インターフェイスを介して証明書を取得できる必要があります。証明書のプロビジョニングは完全に自動化する必要があります。
私の質問は次のとおりです。このシナリオには、AD 証明書サービスのセットアップが含まれますか、それとも必要なユーザーのために自己署名証明書を作成して配布できますか?
AD 証明書サービス ソリューションは、より多くの作業を必要とするより大規模なセットアップのようです。また、本格的な PKI が役立つような将来のシナリオも見当たりません。自己署名証明書オプションは、より実用的なソリューションのようです。一方、このソリューションで、すべての証明書を WCF サービスをホストしているサーバーの信頼されたユーザー ストアに配置する必要がある場合、すぐに管理上の負担が大きくなります。(ただし、証明書を AD ユーザーにマッピングしているので、それが必要かどうかはわかりません。) また、このソリューションの自動化は、Web を検索する午後に基づいて、もう少し複雑に思えます。もちろん、証明書は自己署名されますが、配布チャネルが安全であると仮定すると、これは問題ではないようです.
要するに、私はこれを適切な方法で行いたいのですが、ソリューションを過度に設計したくありません。私が取るべきルートに関するアイデアはありますか?アドバイスをよろしくお願いします。