3

我试图了解客户端证书身份验证如何与智能卡一起使用。

我已阅读有关配置 Apache 以使用证书对用户进行身份验证的信息。网上有很多教程,比如APACHE Web 服务器和 LinuxConfig 的 SSL 认证

据我了解,一旦导入证书,任何可以访问计算机的人都可以启动浏览器并使用它。因此,在多个用户共享同一个帐户(或攻击者对计算机具有物理访问权限并能够登录)的情况下,无法明确地对用户进行身份验证。为了避免这样的问题,当一个帐户被共享时,我可以尝试不在浏览器中存储证书。

现在有几个USB令牌里面可以有证书,可以用来对网站进行客户端证书认证。以下是我对此类设备的疑问:

  • 通过将证书作为物理设备导入,浏览器是否允许我在导入证书时使用它?
  • 如果证书有 PIN 会怎样?浏览器每次启动时都会要求输入 PIN 码吗?
  • 我可以确定无法从令牌/智能卡读卡器中提取证书吗?因此,除非令牌被盗,否则我能确定证书不能被克隆吗?
4

1 回答 1

5

通过将证书作为物理设备导入,浏览器是否允许我在导入证书时使用它?

是的。但是,与软件令牌相比,使用硬件令牌时您可能会发现延迟更高(例如,对于智能卡 2-3 秒)。

如果证书有密码会发生什么?浏览器是否在每次启动时都要求输入密码?

默认情况下,例如,如果您连接到启用了 HTTPS 客户端身份验证的网页,Firefox 只会尝试访问客户端证书。然后将要求输入 PIN。通常,只要不删除令牌,就不再需要 PIN 码,但根据使用的 PKCS#11 模块(将 Firefox 与令牌连接的软件),该行为可能会有所不同。

我可以确定无法从令牌/智能卡读卡器中提取证书吗?因此,除非令牌被盗,否则我能确定证书不能被克隆吗?

然后取决于令牌。有些可能有用于提取私钥的 API,但通常您只能从令牌中使用或删除私钥 + 证书。

于 2013-07-17T12:42:11.597 回答