システムが使用するサービスへのアクセスを許可する前に、モバイル デバイス クライアントを証明書で認証する必要があるシステムの証明書認証スキームを実装するための情報を収集しています。他のログイン資格情報に加えて、システムの信頼できるユーザーに一意の証明書を発行して、モバイル デバイスで使用できるようにするソリューションを探しています。
具体的には、Android アプリケーションなどのクライアント デバイス上のモバイル アプリケーションによって消費される WCF REST サービスがあり、クライアントが正しい証明書を持っているかどうか、およびユーザーによって提供された有効なユーザー資格情報を持っているかどうかを確認する必要があります。 . また、この場合のセキュリティは重要であり、非常に重要です。
私の質問は、今説明したようなシナリオで、一意の証明書認証を実装し、セキュリティを重視することは可能ですか? そうでない場合、これを達成するためのさまざまな代替手段または最良の方法は何ですか?
さらに、PIV/CAC カードに使用される個別に発行された証明書の場合、モバイル デバイスを使用した認証にこれらの証明書を活用する方法はありますか?