У меня проблема с моим сгенерированным файлом pkcs12 с помощью keytool.
Я выполнил эту команду для создания клиентского сертификата pkcs12:
keytool -importkeystore -srckeystore client.jks -srcstorepass password -srcalias clientkey -destkeystore client.p12 -deststoretype PKCS12 -deststorepass password -destalias clientkey -noprompt
Создается файл client.p12, браузер загружает его и запрашивает пароль, после чего веб-сайт загружается нормально. Проблема в google-chrome или любом другом браузере, который может изменить пароль файла с помощью сертификата «Экспорт» в разделе настроек-расширенного управления сертификатами браузера. Затем они могут загрузить его в браузер другого компьютера, используя пароль, который они установили при экспорте.
Есть ли способ предотвратить это? заранее спасибо
Нет, за исключением случаев, когда рабочие станции сильно заблокированы (нет доступа администратора) и браузер не позволяет им делать это в соответствии с политикой безопасности.
Тем не менее, секретность закрытого ключа - это последняя линия защиты. Если пароль известен, любой может расшифровать ключ, если у него есть доступ к файлу, и в этот момент ничто не мешает им делать с ним все, что они хотят.
Вы можете отозвать сертификат любой оскорбительной пары ключ + сертификат, которые появляются в ходе аудита (скажем, обнаружено, что одна из них используется более чем из одного места), но, честно говоря, вам, вероятно, лучше всего перейти на использование решения, которое больше в соответствии с тем, как вы хотите управлять им.