Я хочу использовать SSL-сертификаты для идентификации клиента на сервере Apache. Клиент запускает Firefox на CentOS 7 на ноутбуке, который я одалживаю. Клиентское сетевое соединение использует NAT, поэтому на веб-сервере несколько клиентов будут иметь один и тот же IP-адрес. Только ноутбук, который я одалживаю, должен иметь доступ к серверу. Я прочитал документацию о клиентских сертификатах SSL, и это кажется достаточно простым в настройке. Однако я не хочу, чтобы пользователь мог копировать сертификат из установки Firefox на свой ноутбук. Мне кажется, что если Firefox может прочитать сертификат, то пользователь может также скопировать его. Пользователь также имеет доступ к оболочке на ноутбуке, потому что он использует ноутбук для написания теста.
1 ответ
0
То, что вы говорите, верно, если клиент может прочитать файл, он также может скопировать его. Вы могли бы сделать это более трудным, но они, как правило, являются всего лишь мерой остановки.
Если вы хотите сделать его действительно безопасным, вы можете выдать клиенту смарт-карту. Смарт-карта предназначена для хранения закрытого ключа и никогда не позволяет этому закрытому ключу покидать смарт-карту (или копироваться). Вы также можете сохранить закрытый ключ в чипе TPM, который может быть в ноутбуке (TPM похож на смарт-карту, но встроен в компьютер). Это сделает практически невозможным копирование.