La mia domanda si basa su un'ipotesi:
La creazione di un certificato con una chiave privata non esportabile nell'archivio di Windows è più sicura rispetto alla creazione di una chiave privata e di un certificato e quindi all'importazione in un archivio di certificati del browser. Fondamentalmente voglio che la chiave privata passi il minor numero possibile di "mani". Mi rendo conto che l'uso di una smartcard sarebbe probabilmente il modo più sicuro (se si utilizza quello corretto), ma voglio anche avere la seconda soluzione migliore, una che non richiede hardware aggiuntivo.
Finora ho creato una Root-CA e una Intermediate-CA.
Ho anche creato una CSR utilizzando il gestore dei certificati di Windows e ho firmato il certificato tramite la CA intermediaria, quindi ho importato nuovamente il certificato nell'archivio di Windows.
Il server Apache è configurato correttamente, credo. Quando si utilizza il
SSLVerifyClient require
direttiva, i miei browser ottengono un errore di handshake, quando non si utilizza quella direttiva, funziona la connessione.
Ho letto che Firefox ha il proprio archivio certificati e non può essere configurato per utilizzare l'archivio di Windows.
Quindi ecco le mie due domande:
- La mia ipotesi su Windows Store vs Firefox Store è vera?
- Firefox o altri browser possono utilizzare i certificati dell'archivio di Windows per l'autenticazione?