Постоянный пароль сертификата хранилища ключей SSL

Question

Постоянный пароль сертификата хранилища ключей SSL

У меня проблема с сгенерированным файлом pkcs12, использующим keytool.

Я запустил эту команду для генерации клиентского сертификата pkcs12:

keytool -importkeystore -srckeystore client.jks -srcstorepass password -srcalias clientkey -destkeystore client.p12 -deststoretype PKCS12 -deststorepass password -destalias clientkey -noprompt

Файл client.p12 создан, браузер загружает его и запрашивает пароль, после чего сайт загружается нормально. Проблема в google-chrome или любом другом браузере, который может изменить пароль файла с помощью сертификата "Экспорт" в разделе настроек-управления-сертификатами браузера. Затем они могут загрузить его в браузер другого компьютера, используя пароль, который они установили при экспорте.

Есть ли способ предотвратить это? заранее спасибо

0

ssl certificate keystore

Источник

weenux28 05 мар '13 в 23:12

1 ответ

Другие вопросы по тегам ssl certificate keystore

Andrew B 06 мар '13 в 00:29 2013-03-06 00:29 · Answer 1 · 2013-03-06 00:29

Нет, если рабочие станции сильно не заблокированы (нет доступа администратора) и браузер не позволяет им делать это в соответствии с политикой безопасности.

Тем не менее, секретность закрытого ключа является последней линией защиты. Если пароль известен, любой может расшифровать ключ до тех пор, пока он сможет получить доступ к файлу, и на этом этапе ничто не мешает ему делать с ним все, что он хочет.

Вы можете отозвать сертификат любой пары "ключ + сертификат", которая возникла в ходе аудита (скажем, обнаружена, что она используется из более чем одного места), но, честно говоря, вам, вероятно, лучше перейти на использование решения, которое более линия с тем, как вы хотите управлять этим.