我有一台服务器,上面有一个公共网站和一个安全网站。在安全网站上,我有一个双向 SSL 身份验证。目前,我的 Linux 设备上有一个密钥,但我想从其他计算机(主要是 Windows)访问限制区域。那些计算机不构成威胁。然后,我想将我的 SSL 证书存储在 USB 记忆棒上,但我不想让证书被传递出去。
我如何确保安全?
我读过有关 USB 令牌的信息,它们对家庭服务器(非商业)有用吗?
答案1
只要私钥受到密码保护,您就可以将其放在 USB 上。鉴于此类数据的敏感性,您应该确保自己是任何时候都可以访问 USB 的唯一人选。只要您信任 Windows 计算机,就没问题。
令牌也可以起作用,以上所有内容也适用。
答案2
如果您不希望证书被“传播”,则证书不能放在常规存储中,无论是否便携。在合法备份中或恶意软件窃取您的数据时,很容易复制。
这通常意味着 Cryptoki 令牌符合 PKCS #11。此领域的一个产品是YubiKey. 一些产品采用其他技巧,例如支持包括一次性密码在内的身份验证协议。