大多数企业缺乏密码安全性。Keeper Security 的 2021年数据显示，有 57％的用户将密码写在“便签”上，有 67％的用户承认丢失了这些便笺。使用基于证书的身份验证可以使您的业务更安全，同时提供更好的用户体验。这是 PKI 身份验证的工作方式以及 IT 管理员在其组织内实施身份验证所需了解的内容

在许多组织中，基于密码的安全性是一个问题。当然，部分原因是员工的密码卫生习惯较差（例如创建弱密码或与同事共享其凭据）。但是，其中很大一部分来自雇主，他们实施了较差的访问管理。来自 Keeper Security 和 Pollfish 的最新数据显示，在 1,000 名受访者中，有 32％表示他们已经访问了其前雇主的帐户。那么，如何缓解这些与密码相关的漏洞？通过使用客户端身份验证证书完全消除密码。

客户端证书身份验证，或更准确地说是基于证书的身份验证，是用户安全访问资源和数据的简便方法。与传统的基于密码的安全性方法不同，后者需要在每次访问内容时都输入用户名和密码，而这种证明身份的方法不需要多次登录尝试或（不可避免的）可怕的密码重置选项。它还不需要您输入任何烦人的一次性密码（OTP），PIN 或其他提示。

取而代之的是，这种身份验证方法依赖于 PKI 加密技术和过程，使身份验证变得轻而易举。使用客户端身份验证证书意味着用户可以在后端进行身份验证，而无需处理不安全或难以记住的密码。

但是什么是证书认证，它如何工作？与使用传统的基于密码的身份验证和某些多因素身份验证（MFA）方法相比，使用客户端身份验证证书如何安全？以及如何使用这些证书在 IT 环境中实现 PKI 身份验证？

让我们将其散列出来。

我们正在讨论的是……

1. 大多数企业缺乏密码安全性。Keeper Security 的 2021年数据显示，有 57％的用户将密码写在“便签”上，有 67％的用户承认丢失了这些便笺。使用基于证书的身份验证可以使您的业务更安全，同时提供更好的用户体验。这是 PKI 身份验证的工作方式以及 IT 管理员在其组织内实施身份验证所需了解的内容
2. 什么是客户端证书认证？PKI 身份验证说明
   1. Internet 上的身份验证需要可验证的身份
   2. 数字证书是您在互联网上的数字身份证
   3. 公共 CA 就像 DMV ...
   4. 客户端身份验证证书有很多名称……
3. 为什么基于证书的身份验证很重要
4. 客户端身份验证的工作方式
   1. 证书身份验证依赖于 PKI 证书和加密密钥对
   2. 了解身份验证如何通过传统服务器身份验证进行工作
   3. 客户端身份验证证书在握手期间提供相互身份验证
5. 如何使用客户端身份验证证书启用 PKI 身份验证：IT 管理员指南
   1. 1.购买并生成客户端身份验证证书
   2. 2.完成验证过程
   3. 3.下载或导出用户的客户端证书
   4. 4.将客户端身份验证证书导入操作系统和浏览器证书存储
      1. 如何在 Google Chrome 浏览器中导入 PKI 客户端身份验证证书
      2. 如何在 Mozilla Firefox 中导入 PKI 客户端身份验证证书
   5. 5.配置服务器以支持客户端身份验证
   6. 6.测试您的证书以确保其有效
   7. 7.将用户权限添加到服务器的访问控制列表（ACL）。
6. 管理证书认证的最佳实践
7. 关于基于 PKI 的客户端身份验证和客户端身份验证证书的最终思考

什么是客户端证书认证？PKI 身份验证说明

基于证书的身份验证使用户无需输入传统的用户名和密码即可登录各种系统。而是，用户的浏览器（即，他们的客户端）使用保存在其个人计算机或设备中的数字证书（和 PKI 密钥对，后面会详细介绍）自动将其登录。

这种身份验证方法允许授权用户访问从特定文件和服务到您的网络和其他 IT 系统的所有内容。换句话说，客户端身份验证：

• 不需要使用令人困惑或难以记住的密码。 
• 为用户提供更好的用户体验，并为 IT 管理员简化帐户访问。
• 消除了可能会诱捕您的员工的凭据网络钓鱼漏洞。
• 减轻了网络犯罪分子喜欢在暴力和彩虹表攻击中利用的密码安全风险。
• 当您将客户端身份验证证书与受信任的平台模块（TPM）结合使用时，它比仅基于令牌和 SMS 的 MFA 方法更安全。
• 不需要额外的硬件（尽管将它与 TPM 结合使用时最安全-大多数 Windows 10 设备都配备了 TPM）。

Internet 上的身份验证需要可验证的身份

身份验证的核心是验证某人或某物（对于设备而言）是否是他们声称的身份或身份。因此，当我们谈论基于证书的身份验证或互联网上的所谓PKI 身份验证时，我们真正在这里讨论的是使用 X.509 数字证书和公钥基础结构来远程识别个人及其设备。公共渠道。

这是客户端身份验证证书适合的地方。简而言之，这些数字文件使用户身份验证和机器对机器的通信更加安全。这也是将访问系统限制为仅通过身份验证的用户或设备的方式。

用户身份验证对于访问管理和为您的企业开发零信任安全体系结构至关重要。毕竟，您不希望随意的员工随意访问服务器，网络，Web 应用程序或其他数字资源，对吗？这意味着您始终需要确保请求访问受保护站点或资源的用户是合法的，然后再授予他们访问权限。基于 PKI 证书的身份验证是一种无需使用传统的基于密码的登录方法即可执行此操作的方法。

由于基于证书的身份验证不需要用户在登录设备后再次输入密码，因此该用户身份验证方法被视为一种无密码身份验证。本质上，它将个人用户的数字身份（他们的机器身份或标识数字属性）与一个特殊文件（我们前面提到的数字证书）联系在一起。但是，什么是数字证书？

数字证书是您在互联网上的数字身份证

数字证书是在数字世界中用作您的 ID 卡的文件。与政府签发的驾驶执照或身份证以官方身份识别您的方式非常相似，这些证书也可以在互联网上为您做同样的事情。就像您的驾驶执照具有代表您的唯一字母数字组合的方式一样，每个数字证书都具有与众不同的独特特征。

这些证书是公钥基础结构（PKI-我们稍后将详细讨论）的基本和受信任的元素。他们之所以受到信任，是因为它们在发行证书之前需要信誉良好且受到公众信任的第三方（称为证书颁发机构，证书颁发机构或简称为“ CA”）来验证您的身份。

公共 CA 就像 DMV ...

我们将不讨论 CA 所做的所有事情，但是我们将为您提供快速概述，以便我们可以继续讨论该主题。（查看上面段落中嵌入的链接，以更深入地了解什么是 CA，以及它们如何工作。）

公共 CA 就像您当地的汽车部门办公室的 PKI 数字身份一样。就像 DMV 官员如何签发您的申请并确保您的个人身份是真实的，然后再向您颁发 ID 卡一样，CA 会对您的证书签名请求（CSR）进行新数字证书的审核。他们会拿走您提供的文件和文件，并根据各种官方资源进行核对，以确保它们是合法的。（CA 都是关于跨过这些 T 并散布那些 Is 的。）一旦他们确认所有内容都匹配（即您确实是您自己），便会签发您的客户端身份验证证书。

当然，有些公司选择使用本地（专用）CA 颁发自己的客户端身份验证证书。专用证书的证书颁发有所不同，因为该过程不需要公共信任的 CA 首先验证信息。结果，这些证书不受公众信任。这意味着专用客户端身份验证证书应仅用于保护对内部资源的访问，而不能用于外部（公共）资源的访问。

客户端身份验证证书有很多名称……

好的，对于那些不是 IT 管理员或不定期与 PKI 系统进行交互的人来说，这可能会使您感到困惑。还记得我们之前所说的客户端身份验证证书和 PKI 身份验证证书相同吗？嗯，是的，但是它们也有其他一些名字。**

• 用户身份证书。
• 设备证书。
• 相互认证证书。
• 双向认证证书。
• 电子邮件签名证书，电子邮件身份验证证书和 S / MIME 证书。

（**这些不同的证书之间有很多重叠，但是根据情况，它们并不总是相同的。例如，某些 S / MIME 证书可以用于客户端身份验证，而其他的则不能。通常由私有 CA 发布，这意味着公共 CA 无法对其进行验证。）

为什么会有那么多（看似无关）的名字？在某些情况下，这是因为人们说同一件事的方式有很多。在其他情况下，这是因为这些证书戴了很多帽子（即，它们具有多种功能）。例如，您在设备上安装的用于向网络服务器验证计算机身份的 PKI 数字证书可能与可用于签名和加密电子邮件的证书相同。

现在，当然，并不是所有X.509 数字证书都具有这种交叉使用功能。例如，您不能使用网站安全证书对用户进行身份验证，因为该证书用于对用户客户端（浏览器）的 Web 服务器进行身份验证并创建加密的连接。出于相同的原因，您也不能使用文档签名证书对软件进行签名-它们是为不同目的而创建的不同 X.509 证书。（尽管，同样重要的是要注意，某些 PKI 身份验证证书具有跨功能来签署某些类型的文档。）

这是 PKI 身份验证证书非常独特的地方。与其他类型的 PKI 证书不同，PKI 身份验证证书有时可以用于各种不同的目的-其中之一是相互身份验证。这就是我们在本文中重点讨论的目的。  

为什么基于证书的身份验证很重要

在正常情况下，安全地扩展网络并为一群员工设置远程访问可能很棘手，而且很耗时。去年春季 COVID-19 全球大流行的爆发，迫使企业关闭办公室，数百万员工在家中远程工作，这对于全球 IT 管理员来说，甚至是一个至关重要的问题。甚至一年后的现在，企业仍在尝试推出更好，更安全的用户访问方法。

考虑到员工不遵守密码安全最佳做法的频率，有时您需要主动采取其他措施来增强防御能力。当然，选择使用客户端身份验证证书可能并不适合所有情况。但是它在许多情况下都可以派上用场-特别是对于大型组织。

设置基于证书的身份验证需要更多的时间来设置，但是从长远来看，它节省了时间，并且安全性大大提高。使 PKI 身份验证证书生效时，您：

• 简化身份验证过程。通过不再要求用户记住用户名和密码，您可以使授权用户更轻松地访问特权站点或服务。另外一个好处是可以减少员工的挫败感和 IT 支持时间！
• 阻止草率的密码做法。基于证书的身份验证使用户无法共享帐户登录，并且他们将不再有理由在便笺上留下带有密码的便笺。
• 使您的组织不受蛮力和其他与密码有关的攻击。如果您的用户没有密码，那么网络犯罪分子就不会有暴力行为了。因为基于证书的身份验证使用 2048 位密钥对，所以即使是现代超级计算机也无法破解它。
• 改善组织的网络安全防御能力。通过消除对可能被仿冒，被盗，被拦截，共享或以其他方式破坏的密码的需求，您实际上在使您的企业成为“网络钓鱼的证明”。
• 实施更好的访问控制。将访问权限限制为仅对实际需要它的用户和设备进行访问，可以降低组织的暴露风险。
• 可以轻松撤消单个用户的完整访问权限。当员工离开您的公司时，您只需撤销他们的证书即可禁用与他们的帐户关联的所有访问权限。
• 使您的组织朝着零信任基础架构发展。通过自动不信任任何人并要求用户使用证书而不是密码进行身份验证，您将更接近实现零信任环境。

这对每个人都是双赢的—当然，对于那些想利用您的安全漏洞的网络罪犯而言。但是谁在乎他们想要什么呢？没有人对您的业务至关重要。

还记得我们之前提到的 Keeper Security 数据，其中有近三分之一的雇员在离开前雇主后仍然可以访问其帐户？是的，这阻止了这种事情的发生。当然，这不是唯一的方法。但是，作为一种选择仍然很棒。

客户端身份验证的工作方式

让我们首先从高级角度考虑证书身份验证的工作方式。我们将首先提供一个简单的概述。之后，我们可以为那些想了解更多技术流程的人提供更深入的信息。

1. 用户尝试使用其数字证书登录 Web 应用程序或服务。他们无需使用用户名和密码登录，而是依靠设备上安装的数字证书。这使他们无需记住凭据即可自动登录。
2. 服务器和用户的客户端轮流交换数字证书。数字证书提供有关双方的标识信息。传统上，来自公共 CA 的客户端身份验证证书会根据您的电子邮件地址来识别您的身份。但是，如果证书是由专用 CA 颁发的，则它可以使用其他信息，例如，任意字符串，用户名或 ID号。
3. 双方验证对方为合法证书所有者。这是通过验证各方是否具有与其各自证书的公共密钥相匹配的私有密钥来完成的。如果他们关键比赛，他们会很好。如果不是，则连接将立即被拒绝。
4. 验证后，服务器和客户端将建立到安全资源的连接。服务器和客户端确定一些技术细节并建立安全的加密连接。完毕。

好的，现在我们知道了客户端身份验证证书是什么以及为什么有用，现在该来看看基于证书的身份验证在技术上的实际作用。

为此，我们首先考虑传统的网站身份验证是如何工作的。我之所以这样说是因为客户端身份验证的工作原理相同。但是，客户端身份验证不仅包括用户的客户端对其连接的 Web 服务器进行身份验证，还涉及您的客户端向 Web 服务器进行身份验证。此过程也称为相互认证或双向认证。

证书身份验证依赖于 PKI 证书和加密密钥对

证书身份验证有效的原因是因为它不是独立的东西。正如我前面提到的，它依赖于公钥基础结构，这是我们所知道的互联网安全的基础。虽然我们不会进入所有的技术天书的东西 PKI 是和 PKI 如何工作在这里，我们将至少给你之前进入的具体信息认证一般是如何工作的简要概述。这将帮助您更清楚地了解客户端身份验证过程。

公钥基础结构是密码技术（包括数字证书和公私钥对），流程和策略的综合体，使您能够在 Internet 上发送敏感信息安全性。这就是使这个漂亮的挂锁出现在您的 Web 浏览器中以及使您的组织存储在其数据库中的信息安全的原因。简而言之，PKI 是使通过互联网进行安全通信成为可能的框架。

因此，为了更清楚地了解客户端身份验证的工作原理，我们将首先讨论传统网站身份验证过程的工作原理。然后，我们可以深入讨论使用客户端身份验证证书的 PKI 身份验证。

了解身份验证如何通过传统服务器身份验证进行工作

您是否喜欢在没有他人拦截您的数据的情况下注册订阅服务？您是否喜欢在每次购买亚马逊商品时都知道自己的信用卡信息安全吗？如果您对以上两个问题的回答为“是”，那么您可以感谢 PKI。

当您的浏览器（客户端）连接到公司的网站时，服务器和您的客户端将参与称为 SSL / TLS 握手的过程。简而言之，这种握手是双方之间的对话，使他们可以交换特定类型的信息。（此信息使他们能够建立安全，加密的通信通道，任何意外的参与者都无法截获该通道。）

当前使用两种类型的 TLS 握手：TLS 1.2 和 TLS 1.3。两种类型的握手之间存在技术差异。要了解有关 SSL / TLS 握手的更多信息，请单击上一段中的链接。

从高层次的角度来看，这是此对话内容的简化概述：

• 您的客户端与服务器联系，端点交换信息。此请求是您的客户端如何开始与服务器的对话。他们交换有关其加密功能的信息以及其他可用于最终为会话建立安全的加密连接的信息。
• 服务器向您的客户端提供其 SSL / TLS 证书和公共密钥以验证其身份。证书包含有关域（以及具有业务验证的证书的拥有它的组织）的 CA 验证信息，是服务器进行自身身份验证的一种方法。当您的客户端在握手过程中收到服务器证书时，它将对文件运行一堆加密检查，以确保其真实性并由其归属的 CA 合法颁发。如果信息签出，则这两个实体继续进行 TLS 握手过程的下一部分。
• 服务器和浏览器交换可用于创建会话密钥的数据。此处的目标是让各方贡献加密的数据，他们将分别使用这些数据来生成匹配的对称会话密钥。这两个实体在整个过程中进行通信，以便在会话密钥准备好使用时让对方知道。
• 双方都切换为使用加密通道。TLS 握手的这一部分涉及客户端和服务器从他们一直在使用的密码更改为他们已经同意的新密码，该密码将使用新生成的密钥。客户端将首先切换，然后是服务器。此后，他们将使用经过身份验证和加密的连接进行通信。

此过程最初依赖于非对称加密，因为它是在公共渠道上交换信息的最安全方法。但是，在开销方面，公钥加密被认为有点“慢”，因为它需要使用两个唯一但相关的密钥。一旦客户端对服务器进行身份验证，并且两个实体就会话密钥达成协议，它们就可以切换到使用对称加密（仅使用一个密钥）。这种加密方法对于大规模数据加密和解密更为有效。

不用说，PKI 对于网站安全至关重要，因为没有前者就无法拥有后者。例如，每当您访问一个安全的网站时，您都会在网络浏览器中看到挂锁图标（如下图所示）。如果单击该网址将其展开，您还会注意到该网址的开头显示为“ HTTPS”。这意味着服务器正在使用安全的 HTTPS 协议为您提供网站服务。

因此，既然您了解了网站身份验证的工作原理，那么客户端身份验证在哪里适合呢？

客户端身份验证证书在握手期间提供相互身份验证

与网站服务器在 TLS 握手期间向客户端进行身份验证的方式几乎相同，客户端也可以向服务器进行身份验证。这被称为双向身份验证或双向身份验证，因为两个设备都对自己进行身份验证，而不是通常的单向身份验证。这有点像服务器身份验证过程，但它是向服务器向客户端进行身份验证，而不是相反。

那么，PKI 客户端身份验证如何工作？

1. 您的设备启动 HTTPS 连接。这将启动尝试访问受保护资源（例如服务或内部网站）的过程。
2. 服务器和您的设备交换 PKI 证书。就像传统的 TLS 握手一样，站点或服务向您的客户端发送其自己的 SSL / TLS 证书的副本。但是这一次，它还将要求您提供设备的客户端身份验证证书和公钥的副本，以验证其身份。
3. 您的客户端确保服务器证书有效且合法。为了验证证书的有效性，客户端通过信任库将 SSL / TLS 证书追溯到原始的发行根证书。如果匹配，则可以继续。如果没有，它将立即终止连接。
4. 您的客户端将其客户端身份验证证书发送到 Web 服务器。这是发生 SSL / TLS 握手的客户端身份验证部分的地方。这样可以在服务器和客户端之间进行相互身份验证。
5. 服务器验证证书是合法有效的。不能太小心吧？验证客户端身份验证证书的合法性需要检查证书的信息以及中间件，并将其链接回根。目的是确保：
   • 证书有效（即证书尚未过期或被吊销），
   • 它显示为被记录在 CT日志中（意味着它在发出后已被正确记录），并且
   • 证书是受信任的（证书包含数字签名，并且由可以追溯到颁发 CA 的加密公钥签名）。
6. 服务器验证用户是否有权访问所请求的资源。在这里，将证书与用户的个人身份相关联非常重要。服务器将检查用户或设备是否具有访问所需资源的权限。如果配置文件没有与之关联的资源的权限，则服务器将拒绝连接。
7. 服务器将根据身份验证过程的结果允许或拒绝对资源的访问。一旦您的设备与要连接的服务器或服务成功进行身份验证，它们就会建立安全的加密连接。这意味着您可以安全地访问网站或服务，而不必担心有人会拦截您的连接和数据。但是，如果服务器或服务无法成功验证您的设备的身份，或者您的数字身份没有访问该特定资源的必要权限，则服务器将以比您说“不”的速度更快地终止连接请求。

当然，我们需要注意一件事：基于证书的身份验证的安全性取决于用户保持其私钥和物理设备的安全。例如，假设您的同事鲍勃（Bob）每次去吃午饭时总是在办公室中间保持解锁状态。在这种情况下，鲍勃（Bob）留下了其身份验证凭据易于被未经授权的用户访问和使用。

不使用安全密码或其他因素（例如生物识别法）保护设备安全，就像您去洗手间时将身份证放在桌子上一样。你只是不做。

如何使用客户端身份验证证书启用 PKI 身份验证：IT 管理员指南

是否想在自己的企业中使用证书身份验证？伟大的。我们可以帮助您做到这一点。当然，您可以手动执行此过程，也可以通过使用远程证书管理工具自动执行此过程。

但是，在组织内部启用 PKI 客户端身份验证方面，您实际上是如何从 A 过渡到 Z 的呢？我们将把它分解。

让我们开始这场派对。

1.购买并生成客户端身份验证证书

这始终是该过程的第一步。一旦确定了要为哪些雇员获得证书（例如，那些有权访问您受保护的数据，网络，IT 系统，设备或工具的雇员），您将需要购买证书。

之后，您将要提交证书签名请求（CSR）。您可以通过虚拟主机控制面板或虚拟主机平台生成 CSR。（如果您在 TheSSLstore.com 上购买，则也可以在用户仪表板中直接生成证书。）此过程将导致创建客户端身份验证证书及其附带的加密密钥对（公共和私有密钥）。

2.完成验证过程

生成 CSR 后，您需要将其提交给您选择的证书颁发机构，然后完成其验证过程。完成验证所需的时间长度取决于您请求的证书类型。

客户端身份验证证书的三种验证类型包括：

• 基本的，
• 专业版，以及
• 企业。

从头到尾，这些验证级别从某种意义上来说就像是 SSL / TLS 证书的域验证（DV），组织验证（OV）和扩展验证（EV）一样，每个级别都有越来越高的验证要求。

3.下载或导出用户的客户端证书

CA 批准并颁发证书后，您接下来将其下载到要识别的用户设备上。您应该通过电子邮件收到指向 p.12 文件的链接。只需将其保存到桌面即可快速访问。否则，您可能必须直接从 cPanel 导出它。

以下是一些可能会有所帮助的说明：如何使用 Internet Explorer 下载和导出电子邮件签名证书

但是，等等，上面列表中的指示说它们是用于下载电子邮件签名证书的。不，这不是一个把戏：X.509 数字证书的下载和导出过程几乎完全相同。而且在 IE 中很容易做到，因为浏览器仍然支持 keygen 功能（Firefox 曾经使用过，但不久前就取消了该功能）。

4.将客户端身份验证证书导入操作系统和浏览器证书存储

为了让员工使用 PKI 身份验证证书，首先需要使该证书可被您的设备及其浏览器访问。您可以通过将证书导入设备的证书存储（对于 Windows 用户是信任存储，对于 Apple 用户是钥匙串）以及您的单个浏览器来完成此操作。

导入客户端身份验证证书的方法也因您选择使用的浏览器而有所不同。但是不用担心，我为您介绍了两种最受欢迎的浏览器的分步说明。

如何在 Google Chrome 浏览器中导入 PKI 客户端身份验证证书

1. 您首先要从 Google Chrome 设置菜单中选择设置。（这是显示在浏览器窗口右上角的三个点。）

2. 在弹出的窗口中，从左侧导航菜单中选择“隐私和安全性”。这将在主窗口中弹出四个选项的列表。在这里，您需要选择“安全性”。 

3. 在出现的“安全性”窗口中，向下滚动到“高级”部分，然后选择“管理证书”选项，如下所示。

4. 将会弹出一个单独的窗口，显示标签为“证书”，您应自动置于“人员”选项卡中。（如果没有，请从顶部导航菜单中选择“人员”选项卡。）将在此显示您已安装的所有证书。要转到下一步，请选择导入-这将启动浏览器的用户友好的证书导入向导。

5. 在“证书导入向导”中，按“下一步”继续。

6. 要选择要上载的特定证书文件，请选择“浏览”按钮，然后导航到将证书文件保存在桌面上的位置。

7. 为了更快地找到特定的.pfx 文件（如果您的桌面比较混乱），可以按扩展名类型缩小浏览功能-在这种情况下，您需要选择Personal Information Exchange（*。pfx，* .p12）以仅显示这些类型的文件。选择文件后，按“确定”按钮。（这将使您返回上一个窗口，但将选择该文件。）

8. 在打开的窗口中，按Next（下一步）以使过程继续进行。

9. 在这里，系统会要求您输入 私钥 密码。这是您在证书导出过程中（即，下载.pfx 证书文件时）创建的密码。输入该机密后，您必须检查以下选项：将此密钥标记为可导出，并包括所有扩展属性。完成选择这些导入选项后，请按“下一步”。

10. 这将完成证书导入向导过程。繁荣！当然，您需要查看并仔细检查您的设置。如果一切都结束了，请选择“完成”。如果成功，您应该会收到一条消息，提示您已完成所有操作，只需按OK 即可。如果不是，那么您将要重试该过程。

如何在 Mozilla Firefox 中导入 PKI 客户端身份验证证书

好的，现在我们将引导您完成几乎相同的过程，但是以下步骤将代替 Firefox 中的过程。

1. 在 Firefox 中，通过单击浏览器右上角的堆叠线来打开浏览器菜单。从弹出的菜单中，选择“选项”以打开一个新窗口。

2. 在出现的“首选项”窗口中，从左侧导航中选择“隐私和安全性”。之后，滚动直到您到达屏幕底部的“证书”部分。仔细检查是否选中了“每次询问您”选项，然后按“查看证书”按钮。

3. 将会弹出一个新的证书管理器窗口，并自动将其放置在“您的证书”选项卡中。（如果没有，请自行单击选项卡。）在此窗口中，将显示您已在浏览器中安装的所有客户端身份验证证书或其他 PKI 证书。到达那里后，按导入以打开一个新窗口。

4. 在“要导入的证书文件”窗口中，选择要上传的文件。如果找不到所需的文件，请确保在文件扩展名下拉菜单（文件名字段右侧）中选择了PKCS12 文件（* .p12，*。pfx），并且该文件应该显示。然后，按打开。

5. 将会弹出一个新的密码输入提示窗口。在这里，您将输入先前创建的密码（最初导出或下载证书和私钥时）。按确定以完成该过程。

成功完成导入过程后，您应该会收到一条消息，告知您证书已成功导入。现在，您几乎可以允许该授权用户访问您的安全资源了。但是首先，您必须在后端上采取其他措施才能实现这一目标……

5.配置服务器以支持客户端身份验证

通过执行此步骤，可以在将用户的客户端身份验证证书提交给您的服务器时，使他们能够自动进行身份验证。（注意：该过程尚未完成。在此之前，您还需要完成一些其他步骤。）

当然，执行此操作的具体方式取决于组织使用的服务器类型。例如，配置特定 NGINX 服务器的说明将与您在 Apache 服务器上执行的说明不同。

我们整理了一些可能对您有所帮助的快速资源：

• Apache 客户端身份验证和访问控制
• Windows IIS 服务器的客户端证书映射身份验证
• Citrix 客户端身份验证

6.测试您的证书以确保其有效

发生事故，有时会出问题。这就是为什么必须确保正确安装 PKI 客户端身份验证证书且没有问题的原因。为了验证这一点，您需要输入用户将使用安装了证书的设备访问的资源的 URL。如果该站点显示您的用户帐户信息，则表明证书已正确安装，您可以全天工作。   

如果您想练习（或只是看看该过程如何工作），可以从 badssl.com 下载测试客户端证书以在浏览器上安装。安装了客户端身份验证证书后，您可以使用 badssl.com 的 client 对其进行测试。正确安装后，您会收到一条 OK 消息。如果没有，您将得到一个不太有趣的 400 错误。

7.将用户权限添加到服务器的访问控制列表（ACL）。

好的，您已经设置好证书，配置了服务器，一切准备就绪。正确的？不完全的。您仍然需要为授权用户的帐户设置权限。访问控制列表或 ACL 是一种限制对特定文件，站点或服务的访问的好方法，这样它们只能由您批准的用户列表来访问。在这种情况下，您可能要为内部网站和其他要保护的资源设置 URL ACL。

管理证书认证的最佳实践

在总结本文之前，还有一件事要提到。正确管理使组织内的证书认证成为可能的过程和技术很重要，这不是我们应该跳过的事情。

但是不用担心，我保证会简短地介绍一下。童军的荣誉。以下是一些快速的客户端身份验证管理提示：

• 设置证书管理操作策略。此表是您快速访问所有与证书内部管理有关的资源。本文档应概述组织中证书的方式和人员，由谁来管理，应该使用哪些 CA，以及哪些人具有什么权限（以及其他相关主题）。
• 保持私钥的安全。考虑到这些密钥的必要性和敏感性，这一点至关重要。安全存储密钥的一种好方法是使用 TPM 或 HSM。切勿将它们存储在面向公众的服务器上。
• 设置证书吊销过程。在技术和 IT 安全领域，事情可能会出错，证书也不例外。这就是为什么正确管理证书生命周期至关重要的原因。当证书偶尔被 CA 吊销时，您需要有适当的流程来确保吊销被快速有效地处理，以管理吊销的影响。
• 保持用户权限为最新。如果管理不当，访问管理会带来灾难。如果本应撤消其访问特权但仍不能访问敏感系统的人，那么他们可以对您的业务造成不可减轻的损害。
• 使用全面的证书和密钥管理工具。拥有合适的工具供您使用是朝目标游泳与踩水之间的区别。出色的证书管理器可以提供您 IT 环境中所有数字证书和密钥的可见性。它还提供了一个集中式平台，您可以在其中管理证书的生命周期。考虑到最近的 Keyfactor 数据显示 53％的受调查组织不知道他们拥有多少个密钥或证书，因此很容易看出为什么需要这种工具。

有关证书管理的其他提示，请务必查看我们的证书管理清单：

像老板一样管理数字证书

14 证书管理最佳实践，以保持组织的运行，安全和完全合规。

下载清单

关于基于 PKI 的客户端身份验证和客户端身份验证证书的最终思考

您可以使用最好的网络安全资源。但是，如果您的一名员工不小心单击了错误的电子邮件中的链接，或者是社交工程攻击的目标，则您的组织及其所有有价值的数据都将受到威胁。您要做的就是使您的组织成为网络攻击或数据泄露头条新闻的一个雇员错误。

最近的头条新闻表明，网络钓鱼诈骗继续对全球企业构成越来越大的威胁。在联邦调查局的互联网犯罪投诉中心（IC3）的报告，在 2020年，美国人申请 791790 个网络犯罪投诉报告损失超过 $ 4.1 十亿。其中，仅网络钓鱼诈骗就造成了 241,342 宗投诉，调整后的损失超过 5400 万美元。但是，为什么网络钓鱼具有如此大的攻击力呢？

坦白说，这是因为网络犯罪分子是投机取巧的。他们通常会寻找最简单的目标，从而以最少的努力获得最大的成果。（俗话说“更聪明，更努力”。）他们知道人们经常使用的密码是不安全的，并且人们没有遵循密码安全的最佳做法。

网络犯罪分子还知道，仅依靠基于密码的身份验证方法就可以使您的业务成为目标的“轻而易举的成果”。我的意思是，坏蛋知道，与那些拥有良好网络卫生习惯并且用户使用强密码安全性的竞争对手相比，攻击您的时间更少，资源更少。

这就是为什么您需要通过实施强大的访问控制，将自己提升到那些难以到达的高层分支。使用客户端身份验证证书来限制对敏感资源和数据的访问只是消除与密码相关的漏洞的一种方法。当然，这不是您唯一可以做的。无论选择哪种方式，都要确保实施强大的访问控制并遵循访问管理最佳实践。这样，您就可以使组织尽可能地成为艰难的目标。