autenticación de red basada en certificado

Cuando la autenticación utiliza un certificado, el elemento importante es la clave privada : el objeto matemático que corresponde a la clave pública (la que está en el certificado). Cuando un certificado está "instalado en un sistema", esto significa que la clave privada se almacena en algún lugar dentro de ese sistema. El protocolo de autenticación implica el uso de la clave privada: el propietario de la clave demuestra que tiene acceso a la clave privada, mediante la criptografía con ella, que se puede verificar utilizando la clave pública en el certificado.

Si el mismo usuario (humano) intenta hacer lo mismo desde otra computadora donde no está su clave privada, no tendrá éxito y la autenticación fallará.

Sin embargo, en algunos tipos de sistemas informáticos, y en particular en el mundo de Microsoft / Active Directory, la clave privada del usuario se puede almacenar en el "perfil" del usuario, lo que significa en algunos archivos que realmente están en el servidor AD y en los viajes. con él. El usuario que abre una sesión en cualquier computadora de la red encontrará su certificado y clave privada como parte de su perfil y, por lo tanto, podrá usar la clave privada para la autenticación basada en certificados desde cualquier computadora en la red.

De manera similar, aún con AD, la autenticación (como en "se abrió la sesión") en una máquina puede saltar de una máquina a otra a través de la magia de Kerberos , incluso si los certificados estuvieron involucrados de alguna manera en algún momento.

El usuario está vinculado a mantener la clave privada. Esa clave privada se puede instalar en tantos sistemas diferentes como el usuario desee. Idealmente, la clave privada también debe estar protegida por contraseña, de modo que el sistema en uso debe tener la clave y la persona que usa el sistema debe tener la contraseña.