使用带有私钥的导出证书使用Kerberos登录

Question

首先，我想提一下，我对windows认证方法的了解非常有限。所以我的问题是：

是否可以使用windows中的自定义凭据提供程序登录，以接受我使用私钥从证书存储导出的证书。

据我所知，Kerberos接受用户名/密码格式，并接受来自智能卡的证书。

因此，我的问题是，如何将导出的证书输入Kerberos？

Answer 1

注意:下面的假设是微软做了正确的事情并遵循。但微软是微软，他们没有。-- 智能卡(基于证书的)登录是仅由于微软自定义扩展到Kerberos，所以在使用Kerberos时支持它。

因此，我的问题是，如何将导出的证书输入Kerberos？

简短的回答:你不能。

很长的答案:从技术上讲，你可以。

要理解这一点，我们需要走两个弯路:第一个问题的答案和Kerberos问题的答案。让我们先做Kerberos。

因此，克贝罗斯是一种(复杂的)协议，它允许客户端使用(顺序)中央服务器(S)进行身份验证，以便客户端的实际预期通信伙伴能够确定客户端的身份并与它们共享密钥。所有这一切，只有客户必须建立与中央服务器(S)的连接，而唯一的预共享密钥是在每一方和中央服务器(S)之间。现在，Kerberos完全依赖对称加密，因此从协议的角度来看，通过非对称加密进行身份验证并不是(直接)一种选择。我很有信心Windows也不支持这一点(简短的回答)。

然而，你的问题的答案

是否可以使用windows中的自定义凭据提供程序登录，以接受我使用私钥从证书存储导出的证书。

是的。有些软件允许您使用智能卡登录到本地Windows安装，如果身份验证是由域控制器处理的，则这是一种内置功能。但是请注意，使用加密的导出私钥本身并不是一种合理的身份验证方法，因为您将返回用户名(标识相关的密钥文件)和密码(解密)，并且将一无所获。

如果您有智能卡并使用此智能卡解密windows密码，则可以使用此解密密码进行Kerberos身份验证。做第一部分是可能的，就像在解密本地登录后将密码提供给标准Windows登录设施的软件所演示的那样。做后者不应该太难。请注意，实现这一点可能需要付出很大的努力，而且只有在这样的环境中才有可能值得实现，在这种环境中，您不可能从使用Kerberos切换到使用基于“正常”域控制器的公钥身份验证。这就是为什么更长的答案是“你可以”。