証明書のエクスポート禁止方法について
WindowsServerにて発行した秘密鍵を含むユーザー証明書、
クライアント証明書をMacにインポートしましたが、
書き出しを禁止した状態でインポートできません。
Macの使用者に証明書を抜き取られないようにしたいのですが
windowsのようにエクスポート禁止を設定できる機能は無いでしょうか?
MacBook Pro, macOS High Sierra (10.13.3)
Apple の脅威の通知と金銭目当てのスパイウェアへの対策について
Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。
Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。
WindowsServerにて発行した秘密鍵を含むユーザー証明書、
クライアント証明書をMacにインポートしましたが、
書き出しを禁止した状態でインポートできません。
Macの使用者に証明書を抜き取られないようにしたいのですが
windowsのようにエクスポート禁止を設定できる機能は無いでしょうか?
MacBook Pro, macOS High Sierra (10.13.3)
??
証明書の秘密鍵って、そもそも、他のマシンに転送するようなことはしてはいけないのですが。Windowsサーバで発行したのなら、そのWindowsサーバでのみ使うべきなものです。逆に公開鍵の方は、他のマシンなどに転送して使うものですから、転送禁止は意味がないと思うのですが。
Windowsサーバをマックユーザにも使わせるなら、その秘密鍵はマックユーザのマシンで発行したもの(macOSのキーチェーンで、秘密鍵と公開鍵のペアを簡単に発行できます)をWindowsサーバの秘密鍵で署名したものを使わせるようにすべきなのでは?これなら、Windowsサーバの秘密鍵を持ち出す必要はないし、(Windowsサーバの管理者の許可なしに)ユーザが勝手にWindowsサーバを利用することもできないと思うのですが。Windowsサーバの秘密鍵で署名することはWindowsサーバの管理者でないとできませんので。
はにさん
ご返答ありがとうございます。
説明が不足しており申し訳ありません。
秘密鍵はあくまでmacOS用のユーザーの秘密鍵です。
WindowsServerで各ユーザー用に秘密鍵を発行しております。
はにさんにご説明頂いた状況を元とした場合であれば
マックユーザのマシンで発行したものをWindowsサーバの秘密鍵で署名したものを使わせるようにし、
マックユーザが自身に持っている秘密鍵をエクスポートできないようにしたいということです。
マックユーザが自身の持つ証明書もしくは秘密鍵、つまりmacOSのキーチェーンにある秘密鍵と公開鍵のペアを
別のPCにユーザがコピーできないようにしたいと言うのが今回の目的です。
> 別のPCにユーザがコピーできないようにしたい
同じユーザでないとコピーできませんので、別ユーザがコピーするというのはなかなか敷居が高いと思います。また、コピーしても、それを鍵として使うというのはそれなりに敷居は高いと思います。
でもユーザ自身が秘密鍵と公開鍵のペアをコピーして他人に渡してしまうということを想定されてるのでしょうか?
もしそうなら、署名する際に、ユーザマシンのMACアドレスなどのマシン情報も入れておくとか。これだと、サーバ側でコピーかどうか簡単にチェックできまます。そういうスクリプトを作って、ログインの際に自動でチェックすることもそんなに難しくないと思います。
はにさん、ご返答ありがとうございます。
そうです。ユーザー自身が秘密鍵と公開鍵のペアを別のPCで使用するのを防止したいのです。
証明書はインターネット上で認証しますのでMACアドレスでは識別できないようですし、
そもそも証明書認証システム側にそういったものはないようでした。
具体的にはWindowsの以下のような状態にできないかどうかを模索しております。
証明書のエクスポート禁止方法について