autenticazione di rete basata su certificato

Quando l'autenticazione utilizza un certificato, l'elemento importante è la chiave privata : l'oggetto matematico che corrisponde alla chiave pubblica (quella che si trova nel certificato). Quando un certificato è "installato su un sistema", significa che la chiave privata è memorizzata da qualche parte all'interno di quel sistema. Il protocollo di autenticazione implica l'uso della chiave privata: il proprietario della chiave dimostra di avere accesso alla chiave privata, facendo qualche crittografia con essa, che può essere verificata utilizzando la chiave pubblica nel certificato.

Se lo stesso utente (umano) prova a fare la stessa cosa da un altro computer in cui la sua chiave privata non lo è, allora non riuscirà e l'autenticazione fallirà.

Tuttavia, in alcuni tipi di sistemi informatici, e in particolare nel mondo Microsoft / Active Directory, la chiave privata dell'utente può essere memorizzata nel "profilo" dell'utente, che significa in alcuni file che sono realmente nel server AD e viaggiano con lui. L'utente che apre una sessione su qualsiasi computer della rete troverà il suo certificato e la sua chiave privata come parte del suo profilo, e sarà quindi in grado di utilizzare la chiave privata per l'autenticazione basata su certificato da qualsiasi computer sulla rete.

Allo stesso modo, sempre con AD, l'autenticazione (come in "la sessione è stata aperta") su una macchina può passare da una macchina all'altra attraverso la magia di Kerberos , anche se i certificati erano in qualche modo coinvolti in qualche punto.

L'utente è legato alla detenzione della chiave privata. Quella chiave privata può essere installata su tutti i diversi sistemi desiderati dall'utente. Idealmente, la chiave privata dovrebbe anche essere protetta da password in modo che il sistema in uso debba avere la chiave e la persona che utilizza il sistema deve avere la password.