我们的组织正在考虑使用客户端证书在 VPN 身份验证中添加新因素。我们有公司笔记本电脑,这些笔记本电脑将预先配置客户端证书,然后分发给用户。鉴于此,用户没有管理员访问权限,并且它是 Windows 操作系统,我观察到的一个障碍是保护证书(和私钥)不被导出。为了绕过这一点,恶意用户可以导出证书并在他们的个人设备上重新安装证书,这对我们来说并不理想。我只想阻止/密码保护证书(和私钥)的导出,或者如果导出了证书,则使证书无效。
我首先搜索了 Stack Exchange,然后找到了防止将私钥从一台机器复制(导出)到另一台机器?但它谈到用户对其机器具有管理员访问权限,但这里的情况并非如此。
任何其他限制设备访问 VPN 的可取方法也值得赞赏!
提前感谢任何回答/帮助。:)
答案1
我只想阻止/密码保护证书(和私钥)的导出,或者在完成后使证书无效
您只能将密码应用于密钥访问操作。如果用户有权访问密钥,则用户可以导出它。
您唯一能做的就是将密钥存储在 TPM 中。用户可以自由访问密钥,但无法将其导出到文件。