我们正在考虑使用数字证书来验证连接到我们 VPN 服务的机器实际上是公司拥有的机器。所以我的一位同事提到,对于知识渊博的用户(我们的用户大部分是 CompSci 博士),将证书密钥复制到他们想要使用的另一个非公司所有的系统是微不足道的。我的问题是(我首先搜索了 Serverfault :) 有没有办法阻止用户将密钥对复制(导出)到另一台机器上?或者如果他们这样做会使复制的证书无效?我们 IT 部门计划在机器上安装证书,但我们的用户确实需要对他们的机器具有管理员访问权限才能完成他们的工作。同样,用户的机器混合运行 Windows、Mac OS X 和 Linux 操作系统。
预先感谢您提供的任何答案...
在软件方面,不,绝对不。即使在 Windows 中,标记为不可导出的密钥也可以通过众所周知的 GUI hack 导出。
我建议为此目的使用智能卡(其中密钥存储在卡上并在卡上使用,通常不会透露给计算机)。这样,至少内部黑客必须找到卡的管理密码或以其他方式破解它,这比复制存储在软件中的密码要简单得多。
您还可以考虑使用对计算机主机名进行编码的计算机证书,并确保您的身份验证软件对其进行验证。然而,由于更改计算机的主机名通常很容易,我建议这几乎不会带来任何好处。
| 归档时间: |
|
| 查看次数: |
6274 次 |
| 最近记录: |