我使用keytool生成的pkcs12文件遇到问题。
我运行这个命令来生成一个pkcs12客户端证书:
keytool -importkeystore -srckeystore client.jks -srcstorepass password -srcalias clientkey -destkeystore client.p12 -deststoretype PKCS12 -deststorepass password -destalias clientkey -noprompt 文件client.p12被创build,浏览器加载它,并要求input密码,然后网站将正常加载。 问题出在谷歌浏览器或任何其他浏览器可以更改文件的密码,通过使用浏览器的设置高级pipe理证书部分中的“导出”证书。 然后他们可以使用input时设置的密码将其加载到其他PC的浏览器。
有没有办法来防止这一点? 提前致谢
不,除非工作站严重locking(无pipe理员访问权限),并且浏览器不允许他们根据安全策略执行此操作。
即便如此,私钥的保密性也是最后一道防线。 如果密码是已知的,任何人都可以解密密钥,只要他们能够访问该文件,那么就没有什么可以阻止他们做任何他们想做的事情。
您可以撤销审计中出现的任何违规密钥+证书对的证书(例如,发现一个证书在多个位置使用),但是说实话,您最好转换为使用更多的解决scheme与你想要如何pipe理它。