Je prends une légère supposition, cependant, je soupçonne que le navigateur utilise generateCRMFRequest et importUserCertificate en combinaison. Un aperçu du processus est donné par la documentation Javascript_crypto obsolète pour Firefox.
Des choses similaires peuvent être réalisées avec Internet Explorer. Je n'ai pas regardé mais j'imagine que Safari a aussi un certain niveau de support.
Ce sont des extensions entièrement non standard, et selon ce post sur le forum CA/Browser, pas l'avenir.
La clé est générée localement, cependant, il est difficile de dire si la clé est également envoyée ou non à l'autorité de certification pour "archivage" comme dans generateCRMFRequest. Étant donné que le javascript a accès à la clé générée, il pourrait éventuellement l'envoyer sur Internet.
Dernière info, existe-t-il un outil générique pour faire cela sous Linux ? Pas à ma connaissance. Vous pouvez certainement passer par le processus de :
openssl genrsa ... -out private.key
openssl req -new ... -inkey private.key -out certplease.csr
en envoyant certPlease.csr à l'autorité de certification. De leur part, vous récupérerez un certificat PKCS # 7 signé par eux (et éventuellement d'autres certificats de la chaîne, au cas où ils seraient nécessaires).
Cependant, je ne crois pas qu'il existe un magasin de clés privées standard basé sur l'utilisateur sous Linux - plutôt, chaque environnement de bureau en a un légèrement différent.
C'est une question fascinante.
Tout d'abord, quelques réflexions sur le .cer fichier que vous obtenez :consultez la liste des normes PKCS ; PKCS # 7 n'est qu'un conteneur pour le transport de données signées / cryptées, cela ne nous dit rien sur ce que ces données pourraient être. Si les données à l'intérieur étaient au format PKCS # 12, il est tout à fait possible que la clé privée y ait été associée. Je suppose que la question importante est :avez-vous dû entrer un mot de passe dans le cadre de l'importation du .cer ?
PKI gérée par Symantec
Il y a quelques conseils (mais pas de réponses) dans le guide des options de déploiement de Symantec™ Managed PKI Service.
Vous décrivez clairement
2.1.1 Inscription par navigateur natif
L'inscription par navigateur natif ne nécessite l'installation d'aucun logiciel sur l'ordinateur de l'utilisateur final et fonctionne à la fois dans les scénarios cloud et hybrides.
Bien qu'il manque plutôt de détails sur l'endroit où la clé est générée.
Demander au serveur de générer une clé privée pour vous et de la regrouper dans le .cer file serait cohérent avec des phrases comme celle-ci :
... Cette option est importante pour garantir que les certificats de haute sécurité, tels qu'une carte à puce ou un jeton USB, se retrouvent dans le magasin approprié.
Étant donné que les certificats sont, par définition, publics, la seule façon dont l'expression "certificats de haute sécurité" a un sens est s'il est associé à une clé privée.
Ils font également de nombreuses références aux services d'inscription / de gestion des clés de Microsoft Active Directory. Mais cela n'explique pas votre cas Linux.
Modifier : Euh. Autre chose possible, le navigateur a accès à la fonctionnalité de cryptage du système d'exploitation (par exemple Microsoft CAPI) et le javascript sur la page d'inscription permet au système d'exploitation de créer une clé privée et de générer une demande de certificat comprenant une preuve de possession de cette clé.