意図したもの以外のマシンにインストールされない証明書を作成することは可能ですか? (証明書に埋め込まれたハードウェアのフィンガープリントを使用していますか?)
あるいは、TLS接続の受信側から証明書が間違ったマシンから来ていることを検出する方法があります(単にIPのルックアップテーブルを保持する以外に)。
目標は、証明書を使用して認証し、証明書が共有または配布されていないことを確認することです。
「特定のマシン」をどのように定義しますか?証明書を結び付けることを望んでいる固有のマシンIDは何ですか?たとえば、Windows 8.1 PCの答えはiPadとは異なる可能性があるため、どのプラットフォームに関心があるかを指定しておくと役立ちます。
—
Spiff
一般にWindowsまたはLinux。デフォルトの「どこでもインストール可能」以外の、さまざまな種類のフィンガープリントを使用できます。ハードウェアのMACアドレス、CPU ID、ハードドライブIDなどです。フィンガープリントが変更された場合に再生成する必要がある場合は、それほど大きな問題ではありません。
—
Jason Coyne
これを「完全に」安全にする必要がありますか、それとも不可能ではないにしても秘密鍵のエクスポート/共有を可能にするソリューションを受け入れるでしょうか。
—
Spiff
第二は十分に良いはずです。
—
Jason Coyne