我想使用 SSL 证书来识别 Apache 服务器的客户端。客户端在我借出的笔记本电脑上运行 CentOS 7 上的 Firefox。客户端网络连接使用 NAT,因此多个客户端在 Web 服务器上显示为具有相同的 IP。只有我借出的笔记本电脑才应该能够访问服务器。我已阅读有关 SSL 客户端证书的文档,这似乎很容易设置。但是,我不希望用户能够将证书从 Firefox 安装复制到他们自己的笔记本电脑上。在我看来,如果 Firefox 可以读取证书,那么用户也可以复制它。用户还可以访问笔记本电脑的 shell,因为他们正在使用笔记本电脑编写测试。
答案1
你说的没错,如果客户端可以读取文件,那么他也可以复制它。你可以让它变得更加困难,但它们通常只是权宜之计。
如果你想让它真正安全,你可以给客户端发一张智能卡。智能卡被设计用来保存私钥,并且永远不会让私钥离开智能卡(或被复制)。你也可以将私钥存储在笔记本电脑中的 TPM 芯片中(TPM 就像一张智能卡,但内置在电脑中)。这将使它几乎不可能被复制。