客戶端證書認證：智能卡如何工作？

Question

我想了解客戶端證書身份驗證如何與智能卡一起工作。

我讀過關於配置apache來驗證用戶證書的信息，網上有很多的教程，比如this one。

據我所知，一旦證書被導入，任何可以訪問計算機的人都可以啓動瀏覽器並使用它，因此在多個用戶共享相同帳戶的情況下（或具有物理訪問權的攻擊者到計算機並且能夠登錄），用戶不能單獨進行認證。爲了避免這樣的問題，當帳戶被共享時，我可以嘗試不將證書存儲在瀏覽器中。

現在有幾個usb令牌可以在裏面有證書，可以用來對網站進行客戶端證書驗證。這裏是關於這樣的設備的問題：

• 通過導入證書作爲物理設備，瀏覽器會讓我使用證書，因爲我導入了它嗎？
• 如果證書有PIN，會發生什麼情況？每次瀏覽器啓動時，瀏覽器是否都要求輸入密碼？
• 我可以確定無法從令牌/智能卡讀取器中提取證書嗎？因此，除非令牌被盜，我能確定證書不能被克隆嗎？

Answer 1

通過導入證書作爲一個物理設備，將瀏覽器 讓我用證書作爲我進口的嗎？

是的。但是，與軟件令牌相比，使用硬件令牌時可能會發現更高的延遲（例如，對於智能卡2-3秒）。

如果證書具有PIN，會發生什麼情況？每次啓動時瀏覽器是否要求輸入 ？

默認情況下，例如，如果您連接到啓用了HTTPS客戶端身份驗證的網頁，則Firefox只會嘗試訪問客戶端證書。然後PIN將被要求。 通常，只要未刪除令牌，就不再需要PIN，但根據使用的PKCS＃11模塊（連接Firefox和令牌的軟件），該行爲可能會有所不同。

我可以確定該證書不能從frmo 提取出令牌/智能卡讀卡器嗎？因此，除非令牌被盜，否則我是否可以確認證書不能被克隆？

然後取決於令牌。有些可能具有提取私鑰的API，但通常只能使用或刪除令牌中的私鑰+證書。