Mi pregunta se basa en un supuesto:
Crear un certificado con una clave privada no exportable en el almacén de Windows es más seguro que crear una clave privada y un certificado, y luego importar ambos en un almacén de certificados del navegador. Básicamente quiero que la clave privada pase tan pocas "manos" como sea posible. Me doy cuenta de que usar una tarjeta inteligente probablemente sea la forma más segura (si se usa la correcta), pero también quiero tener la segunda mejor solución, una que no requiera hardware adicional.
Hasta ahora he creado una Root-CA y una Intermediate-CA.
También creé una CSR con el administrador de certificados de Windows y firmé ese certificado a través de la CA intermedia, luego importé el certificado de nuevo al almacén de Windows.
El servidor Apache está configurado correctamente, creo. Al usar el
SSLVerifyClient require
directiva, mis navegadores reciben un error de protocolo de enlace, al no usar esa directiva, la conexión funciona.
He leído que Firefox tiene su propio almacén de certificados y no se puede configurar para usar el almacén de Windows.
Así que aquí están mis dos preguntas:
- ¿Mi suposición sobre la tienda de Windows frente a la tienda de Firefox es verdadera?
- ¿Pueden Firefox o cualquier otro navegador usar certificados de la tienda de Windows para autenticarse?