我已配置我的Web服务器域之一,以要求通过由我自己的证书颁发机构签名的SSL客户端证书进行用户身份验证。我现在已经用密码保护的客户端证书对此进行了测试。一切正常,但并非我希望的那样。
当我在浏览器设置中导入证书文件时,Firefox和Chromium都要求我提供私钥的密码。即使关闭浏览器然后再次打开它,我也可以通过选择证书来访问我的安全域,而无需输入密码。
他们是否存储密码短语,或者甚至存储自己的未加密版本的私钥?我对此行为完全不满意,因为它大大降低了安全性。有谁知道浏览器没有存储密码或未加密的密钥,并且每次我访问安全域时都要求输入密码?
我想要的基本上与我从SSH知道的行为相同,每次创建会话时都必须输入密码(当然,除非使用了诸如“ ssh-agent”之类的工具)。也许我唯一安全的选择是通过SSH进行隧道传输?我想避免这种情况,因为它可以使服务器在一定时间内可供所有应用程序使用。