2

我问这个问题是因为我已经阅读了这里发布的教程:

防止 WCF 客户端上使用的 x509 证书重复?

而且我不明白为什么客户端不能直接转到另一台计算机并安装根 CA 并安装公共 CA 以从另一台计算机连接?

我希望能够在客户端计算机上安装仅授权该计算机连接到 WCF 服务的证书。如果他们“购买”另一个证书,我将在根 CA 上创建它并将其安装在他们想要的另一台计算机上,这台计算机现在将授权该计算机(两台计算机现在只能连接到此服务)。

如果客户端只是复制根 CA 和公共 CA 并将其安装到另一台计算机上,那么发布的方法如何防止另一台计算机通过身份验证?

4

1 回答 1

3

您可以将最终用户证书安装到 Windows 证书存储中,并在安装证书时指定私钥应该是不可导出的。这样的密钥不能被导出并因此被复制(至少在理论上)。接下来,您可以为用户提供带有密钥的硬件——USB 加密令牌或智能卡。此类硬件也不允许从设备中导出私钥,但您需要注意这种攻击

于 2012-06-28T06:11:22.817 回答