Sto facendo una leggera supposizione, tuttavia, sospetto che nel browser stia usando generateCRMFRequest
e importUserCertificate
in combinazione. Una panoramica del processo è fornita dalla deprecata documentazione Javascript_crypto per Firefox.
Cose simili possono essere ottenute con Internet Explorer. Non ho guardato ma immagino che anche Safari abbia un certo livello di supporto.
Si tratta di estensioni completamente non standard e, secondo questo post sul forum CA/Browser, non il futuro.
La chiave viene generata localmente, tuttavia, è difficile stabilire se la chiave viene inviata o meno anche alla CA per "l'archiviazione" come in generateCRMFRequest. Poiché il javascript ha accesso alla chiave generata, potrebbe plausibilmente inviarla tramite Internet.
Un'ultima informazione, esiste uno strumento generico per farlo in Linux? Non che io sappia. Puoi certamente passare attraverso il processo di:
openssl genrsa ... -out private.key
openssl req -new ... -inkey private.key -out certplease.csr
inviando certplease.csr alla CA. Da loro otterrai un certificato PKCS#7 firmato da loro (ed eventualmente altri certificati nella catena, nel caso fossero necessari).
Tuttavia, non credo che in Linux esista un archivio di chiavi private standard basato sull'utente, piuttosto ogni ambiente desktop ne ha uno leggermente diverso.
Questa è una domanda affascinante.
Innanzitutto, alcune riflessioni sul .cer
file che ottieni:Controlla l'elenco degli standard PKCS; PKCS#7 è solo un contenitore per il trasporto di dati firmati/crittografati, che non ci dice nulla su quali potrebbero essere quei dati. Se i dati all'interno erano in formato PKCS#12, è del tutto possibile che la chiave privata fosse inclusa in bundle con esso. Immagino che la domanda importante sia:hai dovuto inserire una password come parte dell'importazione del .cer
?
Symantec Managed PKI
Ci sono alcuni suggerimenti (ma nessuna risposta) nella guida alle opzioni di implementazione del servizio Symantec™ Managed PKI.
Stai chiaramente descrivendo
2.1.1 Registrazione del browser nativo
La registrazione del browser nativo non richiede l'installazione di software sul computer dell'utente finale e funziona sia in scenari cloud che ibridi.
Sebbene sia piuttosto carente di dettagli su dove viene generata la chiave.
Fare in modo che il server generi una chiave privata per te e la raggruppi nel .cer
file sarebbe coerente con frasi come questa:
... Questa opzione è importante per garantire che i certificati ad alta sicurezza, come una smart card o un token USB, finiscano nell'archivio appropriato.
Poiché i certificati sono, per definizione, pubblici, l'unico modo in cui l'espressione "certificati ad alta sicurezza" ha senso è se è inclusa una chiave privata.
Fanno anche molti riferimenti ai servizi di registrazione / gestione delle chiavi di Microsoft Active Directory. Ma questo non spiega il tuo caso Linux.
Modifica: Ah. Qualcos'altro che è possibile è che il browser abbia accesso alla funzionalità di crittografia del sistema operativo (ad esempio Microsoft CAPI) e il javascript nella pagina di registrazione faccia in modo che il sistema operativo crei una chiave privata e generi una richiesta di certificato che includa una prova di possesso di quella chiave.