我想从下属企业 CA 生成一个用户证书,用作 VPN 连接的身份验证方法。我想使用 GPO 在域用户上安装此证书并自动注册。证书中有一个选项可以防止用户导出此证书的私钥。如果我使用此选项配置证书,是否更安全,不会产生影响?
答案1
它并不“更安全”。有免费工具可以导出私钥。这意味着证书可以通过电子邮件发送给任何人,他们可以在任何地方使用它。
这就是智能卡存在的原因。它们通过禁止导出和控制对证书机密的访问来提供不可否认性。TPM 还可以用作虚拟智能卡。
CA:VPN 的证书用户
我想从下属企业 CA 生成一个用户证书,用作 VPN 连接的身份验证方法。我想使用 GPO 在域用户上安装此证书并自动注册。证书中有一个选项可以防止用户导出此证书的私钥。如果我使用此选项配置证书,是否更安全,不会产生影响?
它并不“更安全”。有免费工具可以导出私钥。这意味着证书可以通过电子邮件发送给任何人,他们可以在任何地方使用它。
这就是智能卡存在的原因。它们通过禁止导出和控制对证书机密的访问来提供不可否认性。TPM 还可以用作虚拟智能卡。