有此要求,其中为用户生成的客户端认证不应从不同的设备导出或使用并建立成功的 vpn 连接。
我按照以下步骤使用 easyrsa 生成客户端证书。但是,导出客户端 crt 和密钥时,我仍然能够成功建立 vpn 连接。
有哪些方法可以阻止或限制证书到特定设备。
阅读有关 mac 地址过滤的信息,不确定这是否适用于 tunnelblick。(https://openvpn.net/vpn-server-resources/access-server-post-auth-script-host-checking/)
Steps followed to generate a client key pair:
./easyrsa gen-req test_client_vpn nopass
./easyrsa sign-req client test_client_vpn
答案1
除了以无法导出的方式在设备上生成私钥外,没有其他方法可以将私钥锁定到单个设备上。这是可信平台模块、智能卡、SIM 卡和 YubiKeys(以及其他 U2F/FIDO 设备)等安全硬件芯片的重要功能。
Microsoft Windows 提供了生成“设备密钥”的方法,该密钥不应该从 Windows 内置的“证书存储”(“存储”是指存储空间,而不是零售店)中导出,但它不受硬件支持,因此存在软件工具,仍然可以让具有适当访问级别和专业知识的人从证书存储中提取“不可导出”的私钥。
安全硬件模块的优点在于它们物理上缺乏导出其生成的私钥的电路。