¿Puede un usuario tener un certificado o solo una máquina tiene un certificado?

Los certificados personales son muy comunes en una infraestructura PKI. Y diría que la mayoría de las veces se almacena en la computadora de ese usuario / persona.

Por supuesto, sería preferible tener el certificado y las claves privadas almacenadas en una tarjeta inteligente, como se menciona en otra respuesta, pero hay un soporte limitado para tarjetas inteligentes en, por ejemplo, teléfonos inteligentes.

• Una forma de hacer esto es tener claves y certificados únicos (con el mismo DN) en varios dispositivos. Entonces puedes revocar fácilmente un certificado Si un dispositivo es robado. El problema con este enfoque es, por ejemplo, cifrado Si hubiera un correo electrónico cifrado con la clave pública. correspondiente a un certificado en su teléfono inteligente, ese correo electrónico no puede ser leído en su computadora portátil y viceversa.
• Un término medio sería tener certificados diferentes en cada dispositivo pero con la misma clave privada, con este enfoque puede Sigo leyendo mensajes cifrados en todas las unidades. Pero si una unidad se convierte en comprometido, deberá revocar todos los certificados.
• Y la solución más sencilla es tener el mismo certificado y claves Distribuido a todas tus unidades. Esto tiene los mismos inconvenientes que el opción anterior.

Estos certificados y claves se almacenan de manera diferente según el sistema operativo y la aplicación. MacOS los almacena en el llavero para la mayoría de las aplicaciones. Firefox puede almacenarlos en su propio llavero, y así sucesivamente.

Al parecer, el usuario tiene un certificado almacenado en una tarjeta inteligente o un token de firma digital.

Puede conectar el token en la máquina en la que inicia sesión, y la clave se verifica en función del servidor de administración de claves centralizado en la red.