问X509客户端证书- XEnroll / Certenroll / KEYGEN

EN

从那时起，IBM (现在的HCL) Domino就有了一个完整的过程，将X509客户端证书作为登录选项颁发给way服务器。早在2010年，它在Firefox和中都运行得很好。处理有4个步骤

1. 接受Root证书，CA (通常是自签自Domino)
2. 请求客户端证书，将PrivateKey发送到本地证书存储区，并将PublicKey发送到服务器
3. Domino内部颁发证书并在服务器上插入用户凭据。
4. 向用户发送证书，并与本地PrivateKey一起手动安装该证书

但是时间已经过去了，web浏览器对这个解决方案的支持更少了。随着时间的推移，出现的问题是这个过程的第二步。由于各种原因，浏览器随着时间的推移而变得更糟。

• Firefox使用了不再支持的HTML标记KEYGEN (所以它已经消失了)
• IE一直在使用XEnroll和Certenroll (仍在工作，但IE正在退出)
• 铬不起作用
• Edge无法使用XEnroll/Certenroll，也无法工作。

我知道现在有更好的登录方法通过SAML，idp，OTP等，但这是现在的情况，并希望在几年后，它必须被完全取代。然而，就像现在IE作为唯一的选择，客户正在关闭IE，因为它很快就没有得到女士们的支持。

希望有人能建议某种类型的API，javascript，可以代替生成KeyPair的方式，就像以前的KEYGEN、XEnroll/Certenroll一样，即在本地编写PrivateKey并与PublicKey一起发送到web服务器。这样，在构建新解决方案时，大多数解决方案可以运行得更长一些。

有了正确的解决方案，它甚至可能更少依赖于用户的浏览器。