Utilizzare il certificato client SSL Apache per identificare un client su un server, impedendo al client di copiare il certificato SSL

Voglio usare i certificati SSL per identificare un client su un server Apache. Il client esegue Firefox su CentOS 7 su un laptop che prendo in prestito. La connessione di rete client utilizza NAT in modo che più client appariranno sul server Web con lo stesso IP. Solo il laptop che prendo in prestito dovrebbe essere in grado di accedere al server. Ho letto la documentazione sui certificati client SSL e sembra abbastanza facile da configurare. Tuttavia, non voglio che l'utente sia in grado di copiare il certificato dall'installazione di Firefox sul proprio laptop. Mi sembra che se Firefox può leggere il certificato, anche l'utente può copiarlo. L'utente ha anche accesso alla shell sul laptop perché sta usando il laptop per scrivere un test.

Quello che dici è vero, se un client può leggere un file, può anche copiarlo. Potresti renderlo più difficile, ma di solito sono solo misure stop-gap.

Se si desidera renderlo davvero sicuro, è possibile emettere una smart card al client. La smart card è progettata per contenere una chiave privata e per non lasciare mai quella chiave privata (o essere copiata). È inoltre possibile memorizzare una chiave privata nel chip TPM che potrebbe trovarsi nel laptop (TPM è come una smart card, ma integrata nel computer). Ciò renderà quasi impossibile la copia.