Sto creando un sito web che richiede nome utente, password e certificato (quest'ultimo contiene la chiave pubblica dell'utente finale).
Domanda di aggiornamento
Quando l'utente si registra sul sito Web, ottiene il certificato dal server.
- Il client si sta registrando al sito Web, genera la sua coppia di chiavi (chiave privata e chiave pubblica) e invia al server un CSR in ordine per richiedere un certificato.
- Il server invia al client il certificato richiesto. Per gli altri purporse (ad esempio la risposta alla sfida, la decrittografia / segno ecc.) Il client potrebbe utilizzare la propria chiave privata generata durante il primo accesso.
- Ora, se si suppone che l'utente finale accede da un altro dispositivo utilizzando le stesse credenziali, come può il server gestisci questo nuovo dispositivo? Come posso condividere la chiave privata tra più dispositivi (un account- > più dispositivi). È un approccio valido o è preferibile utilizzare 1 certificato per ogni dispositivo?
Inoltre, questo certificato è memorizzato nella memoria del dispositivo. Ma cosa succede quando l'utente tenta di accedere da un altro dispositivo? In che modo posso gestire la relazione con un unico utente & un altro dispositivo multi-certificato? Come posso gestire la relazione "utente / chiave privata / dispositivi multipli"?
Ho sentito parlare di una VPN, ma non so se ci sono altre buone pratiche (approcci).