Спасибо. Похоже эту функцию добавили не так давно. На момент написания вопроса я пытался таким образом просмотреть параметры сертификата, но браузер ничего толкового не отображал.
maxwell: Ну если вы можете сделать хотя бы временно веб сервер apache или nginx, доступный из интернета по этому имени домена, то сможете воспользоваться утилитой letsencrypt, а потом забрать ключик и сертификат с веб сервера на ваш роутер.
Если подробнее, то аутентификация по сертификатам (а точнее по смарт-картам) реализована как расширение PKINIT протокола Kerberos. Локальная же аутентификация основана на протоколе NTLM, не имеющем нативной поддержки смарт-карт логона.
Еще раз: RFID - идентификатор. Даже, если вы используете его в поле пароль, он не становится паролем по сути. Поэтому можете считать, что пароля у вас уже нет. Есть только длинное имя пользователя равное (Windows-логин + RFID).
Тогда попробуйте сделать как я написал выше: установить пользователю пароль равный 5-ти байтам с карты.
Кстати, вы можете вовсе убрать требование пароля. И, как вариант, сделать пользователям логины, соответствующие этим 5 байтам.
Паранойя не может привести к желанию использовать RFID для аутентификации. Нужно помнить, что суть RFID - идентификатор, который RFID-метка отдает любому совместимому считывателю. Злоумышленник может незаметно считать этот идентификатор и записать его на свою RFID-метку. Даже использование RFID для идентификации в некоторых случаях менее безопасно, чем простой ввод логина.
Тут скорее дело в ожидаемом удобстве.
Владимир Мусихин: На самом деле вы сделали ровно то, от чего я вас пытался отгородить своим ранним комментарием. Теперь ваш закрытый ключ есть у владельцев этого сервиса по "снятию пароля".
Вы и так вынуждены доверять свой закрытый ключ сотрудникам хостинга (я так понимаю, что у вас виртуальный хостинг).
Если вы отправляли ваш ключ в незашифрованном виде (что можно избежать используя хотя бы архивирование с паролем), то и всем провайдерам вы тоже доверили эту важную информацию.
Компрометировать закрытый ключ дополнительно использованием сервиса для снятия пароля - лишние риски, которых следует избегать.
Добавлю только комментарий: владение закрытым ключом от домена открывает широкие возможности злоупотребления. Понимаю, что на виртуальном хостинге вы все равно не сможете избежать доступа к вашим данным со стороны хостера. Но хотя бы постарайтесь обеспечить безопасную передачу вашего ключа по каналам связи. Используйте хотя бы элементарное шифрование архива при отправке подобных данных.
Не загружайте ваш закрытый ключ на облачные хранилища и в электронную почту в открытом виде. В том числе не используйте онлайн-сервисы по "снятию пароля с файла .key" и т.п.
cert_original.key - имя файла с закрытым ключом (обычно .key) с паролем - это тот файл который вы получили в удостоверяющем центре.
cert_without_password.key - имя нового файла без пароля.