我们正在考虑使用数字证书来validation连接到我们的VPN服务的机器实际上是公司拥有的机器。 所以我的一位同事在这里提到,对于一个知识渊博的用户(我们的用户大多是CompSci博士),将证书密钥复制到他们想要使用的另一个非公司所有的系统是微不足道的。 我的问题是(我已经searchServerfault第一:)是否有一些方法来防止用户复制(导出)到另一台机器的密钥对? 或者如果他们这样做复制证书无效? IT部门计划在机器上安装证书,但是我们的用户确实需要pipe理员访问他们的机器来完成他们的工作。 用户的机器也运行Windows,Mac OS X和Linux OS的组合。
预先感谢您提供的任何答案…
在软件中,不,绝对不是。 即使在Windows中,被标记为不可导出的键也可以用一个众所周知的GUI hack导出。
我build议使用智能卡用于此目的(其中密钥被存储和使用在卡上并且通常不向计算机公开)。 这样一来,至less内部黑客必须find该卡的pipe理密码或以其他方式进行破解,这比复制存储在软件中的密码要简单得多。
您也可以考虑使用对计算机主机名进行编码的计算机证书,并确保您的身份validation软件对其进行validation。 但是,因为改变计算机的主机名通常很容易,所以我build议这样做几乎没有任何好处。
不,证书(就像其他的一样)只是一点点。 而位总是可以被复制。