Estoy creando un sitio web que requiere un nombre de usuario, contraseña y un certificado (este último contiene la clave pública del usuario final).
Pregunta de actualización
Cuando el usuario se está registrando en el sitio web, obtiene el certificado del servidor.
- El cliente se está registrando en el sitio web, genera su par de llaves (clave privada y clave pública) y envía al servidor una CSR en orden para solicitar un certificado.
- El servidor envía al cliente el certificado solicitado. Para otros fines (es decir, respuesta de desafío, descifrado / signo, etc.) el cliente podría usar su clave privada generada durante el primer acceso.
- Ahora, si supones que el usuario final Accede desde otro dispositivo usando las mismas credenciales, ¿cómo puede el ¿El servidor gestiona este nuevo dispositivo? ¿Cómo puedo compartir la clave privada entre varios dispositivos (una cuenta - > más dispositivos). ¿Es este un enfoque válido o es preferible utilizar 1 certificado en cada dispositivo?
Además, este certificado se almacena en la memoria del dispositivo. Pero, ¿qué sucede cuando el usuario intenta iniciar sesión desde otro dispositivo? ¿Cómo puedo administrar la relación con un dispositivo múltiple de un usuario - > un certificado- > ¿Cómo puedo gestionar la relación "usuario / clave privada / dispositivos múltiples"?
He escuchado algo acerca de una VPN, pero no sé si hay otras mejores prácticas (enfoques).