Мы пытаемся настроить аутентификацию сертификата клиента для пользователей VPN на Cisco ASA. Хранилище сертификатов пользователя используется для завершения аутентификации. Проблема, с которой мы сталкиваемся, заключается в том, что у пользователя нет прав на доступ к закрытому ключу, что, в свою очередь, приводит к сбою проверки сертификата. Но мой вопрос здесь в том, зачем нам вообще нужен доступ к закрытым ключам для завершения процесса аутентификации.
Открытый ключ - как следует из названия - публичный. Таким образом, его нельзя использовать отдельно для авторизации, так как это все знают. Но только владелец закрытого ключа может подписать какой-то случайный запрос, и эта подпись затем может быть проверена каждым, имеющим доступ к открытому ключу - в данном случае сервером, который отправил этот запрос клиенту. Таким образом, очень важно, чтобы клиент имел доступ к закрытому ключу. И не только клиент должен иметь доступ к закрытому ключу, но он также должен быть единственным, кто имеет доступ (следовательно: «закрытый» ключ), потому что каждый, кто знает закрытый ключ, может требовать идентичности клиента.
Для получения дополнительной информации см. Основы Криптография с открытым ключом.