startssl 的密钥认证登录是如何实现的？

要是以后所有的登陆操作都用一个U盾解决就好了，要登陆的时候直接插U盾...

正好搭车问一下楼主，怎么在mac里面导出startssl的登录证书？我要导入到win7的chrome中。
现在遇到的问题是，私钥导出后无法导入，报错说格式不正确（文件后缀p12）公钥和email证书可以导入，但是无法登陆startssl

@NeoAtlantis Chrome@Windows是用Windows的证书数据库的
Firefox是自己维护了一套证书数据库的

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil
看起来Firefox的证书/私钥库默认是非加密的，保存在 cert8.db key3.db 里

等下我看看飞天的SDK，他们在私钥解密上是怎么做的。

@NeoAtlantis 飞天的SDK是提供了中间件的binary文件。
然后给了头文件，通过WINDOWS CSP API或者PCKS#11 API去操作数字证书。。。

@NeoAtlantis 大概研究了一下。
结论如下：
目前来说，对硬件数字证书的操作，需要通过CSP API或者PCKS#11 API去操作。
应用程序没有直接去操作硬件数字证书的能力。（或者说只是不知道怎么去直接操作硬件）
CSP API和PCKS#11 API的中间件由数字证书厂家制作，没有公开源代码（或者我没找到）。

所以数字证书的私钥有没有释放给windows，那就要看硬件数字证书厂家对中间件的实现了。


按照我目前的经验：
对于使用CSP API的程序，操作数字证书的session在不同程序之间是不共享的（比如说我在IE里登陆了硬件数字证书，在Outlook需要使用硬件数字证书的话需要另外登陆，不能共享IE里的session）。至于其他程序能不能通过读内存的方式获取到已有的session，这个就不知道了，不过感觉Windows应该会有相关的内存保护措施吧。

对于PCKS#11 API的程序，那就真的看程序自己的实现了。像Firefox在一段时间内不操作数字证书（这个时间很短，几分钟的样子），就会要求重新登陆硬件数字证书（说明firefox并没有在内存里保存硬件数字证书的登陆密码？）。不过我相信其他程序绝对有能力注入Firefox的进程获取到一部分信息，具体多少？我不知道。

@NeoAtlantis 所以硬件数字证书的优点之一就是：用完之后就可以拔掉......
智能卡同理。

@NeoAtlantis windows 的私钥文件是可以直接访问的，chrome用的是用户在系统中的存储区，没有独立的存储。Firefox我不了解，但估计验证时也是读取用户自己的存储区吧（内置的大概不派这用场。
如果你需要每次使用都要密码可以启用强私钥保护，可以每次使用私钥都要密码解密。
之前我说加密是想着强制重设密码后私钥会失效，现在想想理由不足，想知道一般加不加密得export一下了。


@vibbow 唉，国内的都这副德行。。还是PayPal大法好

@vibbow 从你的说法看是挺像没有给操作系统。PBKS#11好像本身就是一套复杂的操作标准什么的。话说那么硬件对导入的证书、解密的密文所用的算法、签名算法有限制沒?比如什么算法，多少比特? 硬件能支持的应该有些限制?

@NeoAtlantis 有限制。
这是我用的硬件数字证书的技术参数：
http://www.ftsafe.com/product/epass/epass3003auto

@0okmnbvcxzx 我被Paypal莫名其妙封了一个账号，然后他们发邮件让我重新注册一个...

@vibbow 可惜了啊，看来是不错，但是算法略旧的感觉…RSA到2048，DES和3DES也挺旧，SHA256还好。

@vibbow 有联系过客服吗？他们怎么说……是无解了吗？

@TrustyWolf 已经有类似的方案了，https://www.yubico.com/applications/fido/

@0okmnbvcxzx 就是客服给我说让我重新申请一个账号...

@NeoAtlantis 就算是目前最好的SafeNet的，也只不过是多支持了一个AES256的而已。
ftsafe的其实还支持国密算法，只不过英文页面没写而已。

@GhostFlying 一个yubico卖的比U盾还贵，看得我也是醉了。

@vibbow 真是个悲伤的故事……
国密的话除了有关部门应该很少用吧……