Я пытаюсь понять, как аутентификация сертификата клиента работает со смарт-картами.
Я читал о настройке Apache для аутентификации пользователей с помощью сертификата. В Интернете есть множество руководств, таких как Веб-сервер APACHE и аутентификация SSL em> из LinuxConfig.
Насколько я понимаю, после импорта сертификата любой, кто имеет доступ к компьютеру, может запустить браузер и использовать его. Таким образом, в случае нескольких пользователей, использующих одну и ту же учетную запись (или злоумышленника, имеющего физический доступ к компьютеру и возможность входа в систему), пользователь не может быть однозначно аутентифицирован. Чтобы не было такой проблемы, при совместном использовании аккаунта я мог бы попробовать не хранить сертификаты в браузере.
В настоящее время существует несколько USB-токенов, внутри которых могут быть сертификаты, которые можно использовать для аутентификации сертификатов клиентов на веб-сайтах. Вот мои вопросы по таким устройствам:
- При импорте сертификата как физического устройства браузер позволит мне использовать сертификат в том виде, в котором я его импортировал?
- Что произойдет, если сертификат имеет PIN-код? Запрашивает ли браузер PIN-код при каждом запуске?
- Могу ли я быть уверен, что сертификат не может быть извлечен из устройства чтения токенов/смарт-карт? Следовательно, если токен не будет украден, могу ли я быть уверен, что сертификат невозможно клонировать?