¿Hay algún mecanismo en SSL / TLS que permita vincular un certificado a un dispositivo? Ejemplo:
Hay un cliente que habla con un servidor y, durante la configuración de SSL / TLS, hay una autenticación mutua. El servidor verifica que el cliente presentó un certificado que es válido (fecha de caducidad, CRL / OCSP, etc.) y tiene los campos necesarios que el servidor desea ver (dominio x.example.com, firmante de XYZ Corp, etc.).
Sin embargo, también nos gustaría que el servidor relacione ciertas características del certificado del cliente (huella digital, serie, etc.) con el propio cliente (IP, nombre de host, NetBT, etc.). ¿Hay algún mecanismo integrado o de terceros que haga esto, o me estoy perdiendo algo?
La preocupación es que un certificado será exportado desde un cliente por alguien con privilegios elevados (tendremos ACL estrictas, pero suponemos que no son efectivas para detener al atacante) y luego se instala en un segundo dispositivo. Entiendo que, si alguien tuviera privilegios elevados en una máquina, solo podrían hacer cualquier maldad que quisieran hacer en esa caja utilizando el entorno existente, pero si pueden usar el certificado en un segundo dispositivo, podrían pasar por alto los controles de seguridad ( firewalls locales, av, etc.) y auditorías de seguridad (el firewall está habilitado, av está activado, las acciones se registran y se envían al servidor de syslog, etc.).