Автоматическое создание «токена» веб-сайта для аутентификации SSL при первом посещении пользователем сервера Apache2

Question

TLDR: я ищу программную систему двухфакторной аутентификации.

Описание: я пытаюсь найти решение, эквивалентное сертификату на стороне клиента SSL, за исключением того, что указанный сертификат будет оптимально создан при первом подключении браузера к серверу.

Длинная версия: Я хочу автоматически сгенерировать токен безопасности, используя систему аутентификации в стиле PKCS # 11, чтобы когда пользователь использовал определенный код входа на веб-сайт, этот компьютер всегда мог подключиться к странице пользователя (без указания имени пользователя).

Я также не могу требовать сертификаты в стиле PKCS # 12, которые требуют 5-10 шагов для установки в браузере клиента, тем более что установка сертификата может быть заблокирована. Цель этого запроса - изучить возможность для браузера обеспечить подлинную двухфакторную аутентификацию без проблем. В настоящее время кажется, что только Sun говорит о PKCS # 11, и поддержку браузера для клиентских сертификатов сложно объяснить быстро.

В качестве предупреждения, говорить о внутреннем браузере PKCS # 11 может быть неверно, или может быть функцией PKCS # 15. Я подозреваю, что не задаю правильный вопрос здесь. Любые предложения будут оценены.

Answer 1

Вы, вероятно, имеете в виду тег KEYGEN , который генерирует пару ключей через браузер и помещает конечный результат в некоторый магазин программного обеспечения, поскольку вы хотите создавать сертификаты программного обеспечения на лету.

У Keygen есть несколько проблем и недостатков, например, вы не можете применить политику ПИН / пароля и, следовательно, обладаете двухфакторными свойствами, и на самом деле не являются настоящим стандартом и не работают везде.

PKCS # 15 здесь совершенно не подходит, так как имеет дело с форматом файловой системы на смарт-карте, которая скрыта под слоем браузера / https / crytpoapi.

PKCS # 11 имеет значение только для Firefox, поскольку IE и Safari оба используют собственные хранилища сертификатов платформы и API (CryptoAPI и CDSA / Keychain соответственно) для внутреннего использования.