방지 원하지 않는 복사 내가 여기에 게시 자습서를 통과했기 때문에 나는이 질문을 부탁 해요

Question

다른 컴퓨터 인증하기 :

Preventing Duplication of the x509 Certificate Used on a WCF Client?

를 내가 이해하지 않고있는 이유 클라이언트는 할 수 없었다 다른 컴퓨터로 이동하여 루트 CA를 설치하고 공용 CA를 설치하여 다른 컴퓨터에서 연결하십시오.

는 난 단지 컴퓨터가 WCF 서비스에 연결하는 것을 허가 고객의 컴퓨터에 인증서를 설치 할 수 있어야합니다. 그들이 다른 인증서를 "구입"한다면 루트 CA에서 생성하여 원하는 다른 컴퓨터에 설치하여 이제 해당 컴퓨터를 인증합니다 (이제 2 대의 컴퓨터가이 서비스에만 연결할 수 있습니다). 게시 된 방법은 클라이언트가 바로 복사 루트 CA 및 공공 CA 경우 인증되는 다른 컴퓨터를 방지하고 다른 컴퓨터에 설치 않는 방법

?

Answer 1

Windows 인증서 저장소에 최종 사용자 인증서를 설치할 수 있으며 인증서를 설치할 때 개인 키를 내보낼 수 없도록 지정하십시오. 이러한 키는 내보낼 수 없으므로 (적어도 이론적으로) 복사 할 수 있습니다. 그런 다음 사용자에게 키가있는 하드웨어 (USB 암호 키 또는 스마트 카드)를 제공 할 수 있습니다. 이러한 하드웨어는 개인 키를 장치에서 내보낼 수 없지만 this attack을 인식해야합니다.