我在使用 keytool 生成的 pkcs12 文件时遇到了问题。
我运行此命令来生成 pkcs12 客户端证书:
keytool -importkeystore -srckeystore client.jks -srcstorepass password -srcalias clientkey -destkeystore client.p12 -deststoretype PKCS12 -deststorepass password -destalias clientkey -noprompt
文件 client.p12 已创建,浏览器加载该文件并要求输入密码,然后网站将正常加载。问题在于,google-chrome 或任何其他浏览器都可以使用浏览器设置-高级-管理证书部分中的“导出”证书更改文件的密码。然后,他们可以使用导出时设置的密码将其加载到其他电脑的浏览器中。
有没有办法防止这种情况发生?提前致谢
答案1
不可以,除非工作站被严格锁定(没有管理员访问权限)并且浏览器不允许他们根据安全策略这样做。
即便如此,私钥的保密性也是最后一道防线。如果密码被人知道,任何人只要能访问文件,都可以解密密钥,到那时,就没有什么可以阻止他们用密钥做任何想做的事情了。
您可以撤销审核中出现的任何有问题的密钥+证书对的证书(例如,发现一个证书在多个位置使用),但老实说,您最好切换到使用更符合您想要管理它的方式的解决方案。