Certificati macchina per accedere a un'app Web in IIS solo da un client PC specifico

1

Abbiamo un'app Web ASP.NET in esecuzione in IIS, con circa 200 utenti, alcuni sono all'interno della nostra LAN e altri sono al di fuori della nostra LAN. Ogni utente ha un account utente e una password per accedere.

Oltre a queste credenziali, vogliamo aggiungere più sicurezza per accedere a quell'app Web con questo requisito:

A user will access that web app just and only from its PC. If the user goes to other place and/or uses other PC, and even if its credential login were right, then he/she will not be able to access that web app.

Abbiamo pensato di utilizzare i certificati client Ora ci viene detto che possiamo soddisfare questo requisito utilizzando i certificati macchina invece dei certificati lato client. Con i certificati macchina, l'utente non sarà in grado di utilizzare nessun'altra macchina per utilizzare l'applicazione Web.

Inoltre dovremmo installare una CA nel nostro server IIS, ma possiamo anche rilasciare il certificato della macchina per le macchine non Active Directory.

È possibile soddisfare questo requisito con i certificati macchina?

    
posta Delmonte 18.05.2015 - 23:50
fonte

1 risposta

1

Non c'è una vera differenza tra certificati macchina e utente: è un certificato X509 che viene utilizzato durante l'handshake TLS come autenticazione client ( handshake autenticato dal client ).

La differenza è come il certificato è installato e configurato sul client: in genere, un certificato utente sarà collegato all'account utente. a seconda del sistema, potrebbe essere "spostato" da un sistema a un altro quando l'utente si sposta (ad esempio, se si tratta di un certificato integrato AD) e la chiave privata non sarà accessibile ad altri utenti dello stesso server.

Un certificato macchina, tuttavia, è legato alla macchina specifica. In genere, su Windows, è collegato all'archivio certificati LOCAL_MACHINE e l'accesso alla chiave privata è protetto dagli ACL in modo che solo gli amministratori locali e gli utenti autorizzati possano accedervi.

Quindi, per rispondere alla tua domanda: tu, puoi usare il certificato macchina poiché l'unica differenza è il modo in cui sono distribuiti e il loro accesso è controllato.

    
risposta data 19.05.2015 - 11:44
fonte

Leggi altre domande sui tag