Certificados de máquina para acceder a una aplicación web en IIS solo desde un cliente de PC específico

Question

Certificados de máquina para acceder a una aplicación web en IIS solo desde un cliente de PC específico

#1 de Stephane (1 votos)

1

Tenemos una aplicación web ASP.NET que se ejecuta en IIS, con aproximadamente 200 usuarios, algunos están dentro de nuestra LAN y otros están fuera de nuestra LAN. Cada usuario tiene una cuenta de usuario y una contraseña para iniciar sesión.

Además de esas credenciales, queremos agregar más seguridad para acceder a esa aplicación web con este requisito:

Un usuario accederá a esa aplicación web solo y solo desde su PC. Si el usuario va a otro lugar y / o usa otra PC, e incluso si su credencial el inicio de sesión fue correcto, entonces él / ella no podrá acceder a esa aplicación web.

Pensamos en utilizar certificados del lado del cliente. Ahora se nos dice que podemos cumplir con este requisito utilizando certificados de máquina en lugar de certificados del lado del cliente. Con los certificados de máquina, el usuario no podrá utilizar ninguna otra máquina para usar la aplicación web.

También tendríamos que instalar una CA en nuestro servidor IIS, pero también podemos emitir un certificado de máquina para máquinas que no sean de Active Directory.

¿Es posible cumplir este requisito con certificados de máquina?

certificates asp.net iis

pregunta Delmonte 18.05.2015 - 23:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates asp.net iis

¿El cumplimiento de solo permitir que la aplicación firmada se ejecute en un servidor de Windows es una regla segura en un entorno de producción? Preocupaciones de seguridad del navegador inyectado JS

score 1 · Answer 1

No hay una diferencia real entre los certificados de máquina y usuario: es un certificado X509 que se usa durante el reconocimiento de TLS como autenticación de cliente ( apretón de manos autenticado por el cliente ).

La diferencia es cómo se instala y configura el certificado en el cliente: por lo general, un certificado de usuario se vinculará a la cuenta del usuario. dependiendo del sistema, puede ser "movido" de un sistema a otro cuando el usuario se mueve (por ejemplo, si es un certificado integrado AD) y la clave privada no será accesible para otros usuarios del mismo servidor.

Sin embargo, un certificado de máquina está vinculado a la máquina específica. Por lo general, en Windows, está vinculado al almacén de certificados LOCAL_MACHINE y el acceso a la clave privada está protegido por las ACL para que solo los administradores locales y los usuarios autorizados tengan acceso a él.

Entonces, para responder a su pregunta: usted puede usar el certificado de la máquina, ya que la única diferencia es la forma en que se distribuyen y se controla su acceso.