我问这个问题,因为我已经阅读了这里发布的教程:
Preventing Duplication of the x509 Certificate Used on a WCF Client?
我不明白为什么客户端不能只是转到另一台计算机并安装根CA并安装公共CA以从另一台计算机连接?
我希望能够在客户端计算机上安装证书,该计算机只授权该计算机连接到WCF服务。如果他们“购买”另一个证书,我会在根CA上创建它并将其安装在他们想要的另一台计算机上,现在它将授权该计算机(2台计算机现在只能连接到此服务)。
如果客户端只复制根CA和公共CA并将其安装到另一台计算机上,则发布的方法如何阻止对其他计算机进行身份验证?
答案 0 :(得分:3)
您可以将最终用户证书安装到Windows证书存储中,并在安装证书时指定私钥应该是不可导出的。这样的密钥不能被导出并因此被复制(至少在理论上)。接下来,您可以为用户提供带有密钥的硬件 - USB密码或智能卡。此类硬件也不允许从设备导出私钥,但您需要了解this attack。