Un utente può avere un certificato o solo una macchina ha un certificato?

0

Se dici di voler configurare una PKI e utilizzare EAP-TLS per autenticare tutti gli utenti e i computer.

Il certificato di un computer è memorizzato su quel computer. Ma come può un utente avere un certificato? Dove è conservato? Cosa succede se un utente accede da un altro computer, come fornirà il suo certificato per l'autenticazione del client?

    
posta Zouzou Ibba 16.07.2017 - 16:09
fonte

2 risposte

1

I certificati personali sono molto comuni in un'infrastruttura PKI. E direi che il più delle volte è memorizzato sul computer dell'utente / persona.

Naturalmente sarebbe preferibile avere il certificato e le chiavi private memorizzate su una smart card come menzionato in un'altra risposta, ma c'è un supporto limitato per le smart card, ad esempio negli smartphone.

  • Un modo per farlo è avere chiavi e certificati univoci (con il stesso DN) su diversi dispositivi. Quindi puoi facilmente revocare un certificato se un dispositivo viene rubato. Il problema con questo approccio è ad esempio crittografia. Se c'era una e-mail crittografata con la chiave pubblica corrispondente a un certificato sul tuo smartphone, quella email non può da leggere sul tuo laptop e viceversa.
  • Una via di mezzo sarebbe avere certificati diversi su ciascuno dispositivo ma con la stessa chiave privata, con questo approccio è possibile leggere ancora messaggi crittografati su tutte le unità. Ma se diventa un'unità compromesso hai bisogno di revocare tutti i certificati.
  • E la soluzione più semplice è avere lo stesso certificato e le stesse chiavi distribuito a tutte le tue unità. Questo ha gli stessi svantaggi del opzione sopra.

Questi certificati e chiavi sono memorizzati in modo diverso a seconda del sistema operativo e dell'applicazione. MacOS li memorizza nel portachiavi per la maggior parte delle applicazioni. Firefox può memorizzarli nel proprio portachiavi, e così via.

    
risposta data 16.07.2017 - 23:00
fonte
0

Apparentemente l'utente ha un certificato memorizzato in una smart card o in un token di firma digitale.

Può connettere il token sulla macchina a cui accede e la chiave viene verificata sulla base del server di gestione delle chiavi centralizzato nella rete.

    
risposta data 16.07.2017 - 17:05
fonte

Leggi altre domande sui tag