Аутентификация клиента SSL
Самый легкий первый шаг должен использовать руткит, находящий приложения, Вы не говорите, какую операционную систему Вы используете, но на Linux это было бы chkrootkit или rkhunter. Они должны сказать Вам, если какой-либо из Ваших двоичных файлов был изменен для злонамеренных версий.
Обычно не используйте ни один из двоичных файлов в самой системе для поиска взламывания, как будто они являются злонамеренными, они, вероятно, исключат вывод точно, что Вы ищете.
Затем инструментам нравится, раскрывают ту справку, которую Вы находите спрятанными порты TCP/UDP и процессы.
После этого я сделал бы сканирование уязвимости с чем-то как openVAS для обнаружения, какие дыры Вы имеете в системе.
То, что Вы делаете после этого зависит от того, что Вы находите, но короче говоря если Вы находите что-нибудь подозрительным, уничтожьте его и переустановите, является моим предпочтительным вариантом. Иначе Вы боретесь на их условиях.
Должен ли каждый пользователь получать собственный сертификат?
Обычно да.
Вы можете использовать один сертификат для всех (и определить, кто является фактическим пользователем на основе имени пользователя / пароля), но затем, если этот сертификат будет скомпрометирован, вам придется выдать новые сертификаты каждому - это неудобно для вы или ваши пользователи.
- Сертификаты должны создаваться для каждого пользователя при создании его учетной записи.
- Сертификаты могут быть для каждого пользователя или для каждого устройства
Это выбор реализации. Делайте то, что имеет смысл для вашей среды:- Если вы проверяете, что устройство авторизовано, сертификат для каждого устройства имеет смысл.
- Если вы проверяете, что конкретный пользователь (U / P) является тем, кем они себя называют, сертификаты для каждого пользователя
Должен быть один глобальный закрытый ключ или ключ для каждого сертификата?
Определенно один ключ на сертификат.
Все ваши пользовательские сертификаты должны быть общедоступной / частной парой, уникальной для пользователя (или устройства).
Все они должны быть подписаны одним доверенным лицом (сертификат CA вашей компании).
Как распределяются пользовательские сертификаты?
Как вам угодно (с учетом ограничений различных платформ и программного обеспечения) .
Я предлагаю НЕ публиковать их на веб-странице, чтобы кто-либо в мире мог их скопировать, но способ получения сертификатов на устройства - это выбор реализации, который вы должны сделать.
Если вы храните пары сертификатов на сервере, вы должны быть уверены, что сервер безопасен - вы не хотите, чтобы кто-то получил все ваши (действительные) сертификаты.
Изменение ключей для всех ваших пользователей будет раздражать (и это довольно сложно объяснить).
Обязательно прочтите вопрос о безопасности ИТ, дауд указал вам на , который охватывает некоторые механические аспекты создания сертификатов (и не менее важен - CRL).
IT Security также содержит другие вопросы / ответы об аутентификации сертификата, которые были бы для вас отличным ресурсом в отношении теории и принципов, которые вам необходимо реализовать, чтобы это на самом деле быть безопасным.