我最近从我的智能卡中提取了证书并将其导入 Firefox。
然而,当我尝试登录几个支持智能卡的网站时,我收到了一条错误消息(错误代码:ssl_error_bad_cert_alert)。每当我忘记插入智能卡时,我都会收到同样的错误。
有没有不需要智能卡就可以安装证书的方法?
答案1
关于证书,几乎没人知道最重要的一点,就是如果没有匹配的私钥,证书就毫无用处。智能卡的重点在于,它们永远不会泄露你的私钥。
要理解证书,首先您必须理解公钥加密技术以及您可以使用它做什么。您需要知道,公钥-私钥对中的私钥是您希望确保只有您才能获得的东西,而公钥是您希望毫无保留地向全世界公布的东西。
之后您将意识到证书只是一种分发公钥的方式,其他人可以通过这种方式验证它是否确实是适合您的公钥。
智能卡的理念是,它在卡本身的安全存储中生成公钥-私钥对,并且只允许您获取公钥。然后,您可以将公钥连同有关您自己的信息作为证书签名请求发送到证书颁发机构,以获得签名,从而转换为适当的证书。然后,为了方便起见,您可以将该证书存储回一直安全保存匹配私钥的智能卡上。您可以轻松取回公钥证书,因为这不是秘密。您希望全世界都拥有您的公钥。因此得名。拥有公钥证书的副本并不能证明您就是证书上所列的人。您必须证明您拥有匹配的私钥才能证明这一点。
但是智能卡的全部意义在于它们永远不会泄露您的私钥,因此当有人质问您,要求您证明您知道与您的公钥证书相匹配的私钥时,您的智能卡必须始终在场,这证明您确实是证书身份部分中所提到的人。
如果您需要找到一种无需智能卡即可进行证书(以及公钥-私钥对)身份验证的方法,那么您不仅需要一种方法来提取证书,还有匹配的私钥,从卡片中,以及将它们作为匹配套件安装到您需要的任何其他系统上。
答案2
有没有不需要智能卡就可以安装证书的方法?
这取决于证书的类型及其验证方式。如果证书中包含密码,则导入证书所做的一切就是允许 Firefox 使用该证书。如果卡未处于可读状态,则证书无效,因此您收到的错误仅在卡存在时有效(这有点像卡片上的证书的全部要点)。