@0okmnbvcxzx 就是客服给我说让我重新申请一个账号...

@0okmnbvcxzx 我被Paypal莫名其妙封了一个账号，然后他们发邮件让我重新注册一个...

@NeoAtlantis 有限制。
这是我用的硬件数字证书的技术参数：
http://www.ftsafe.com/product/epass/epass3003auto

@NeoAtlantis 所以硬件数字证书的优点之一就是：用完之后就可以拔掉......
智能卡同理。

@NeoAtlantis 大概研究了一下。
结论如下：
目前来说，对硬件数字证书的操作，需要通过CSP API或者PCKS#11 API去操作。
应用程序没有直接去操作硬件数字证书的能力。（或者说只是不知道怎么去直接操作硬件）
CSP API和PCKS#11 API的中间件由数字证书厂家制作，没有公开源代码（或者我没找到）。

所以数字证书的私钥有没有释放给windows，那就要看硬件数字证书厂家对中间件的实现了。


按照我目前的经验：
对于使用CSP API的程序，操作数字证书的session在不同程序之间是不共享的（比如说我在IE里登陆了硬件数字证书，在Outlook需要使用硬件数字证书的话需要另外登陆，不能共享IE里的session）。至于其他程序能不能通过读内存的方式获取到已有的session，这个就不知道了，不过感觉Windows应该会有相关的内存保护措施吧。

对于PCKS#11 API的程序，那就真的看程序自己的实现了。像Firefox在一段时间内不操作数字证书（这个时间很短，几分钟的样子），就会要求重新登陆硬件数字证书（说明firefox并没有在内存里保存硬件数字证书的登陆密码？）。不过我相信其他程序绝对有能力注入Firefox的进程获取到一部分信息，具体多少？我不知道。

@NeoAtlantis 飞天的SDK是提供了中间件的binary文件。
然后给了头文件，通过WINDOWS CSP API或者PCKS#11 API去操作数字证书。。。

@NeoAtlantis Chrome@Windows是用Windows的证书数据库的
Firefox是自己维护了一套证书数据库的

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil
看起来Firefox的证书/私钥库默认是非加密的，保存在 cert8.db key3.db 里

等下我看看飞天的SDK，他们在私钥解密上是怎么做的。

上v2ex上发个帖炫耀一下，然后雪藏，或者再卖掉。

@0okmnbvcxzx 支付宝那就是纯粹的耍流氓。

@NeoAtlantis 我对具体实现的细节不是很了解。
但是感觉上是：是的。

@NeoAtlantis http://blog.sina.com.cn/s/blog_4dfafb6d0100g8gi.html

@Akiyori 我主要是面对国外访客的。
国内单独有个镜像。

@NeoAtlantis 保存数字证书用的。
私钥只可以导入，不可以导出。
密码输入错误达到一定次数后自动重置。

@Draplater 对于Apache，LZ可以参考这篇文章来配置
http://vsean.net/blog/post/194

@xoxo 对于服务器端对客户端的证书认证，既可以在Apache的层面上完成，也可以在PHP的层面上完成。

@xoxo 如果你用硬件数字证书的话，导入证书时可以同时导入证书链，也可以选择不导入证书链。
浏览器使用一个自签名的证书给服务器，是否信任这个证书是服务器的选择。
服务器可以要求这个客户端证书必须是由可信CA颁发的，也可以选择接受任何证书。

200 CNY 出一个DO账户，已正常使用2年，还有110刀余额。
因为感觉 DO 宽带不是很稳定，已换到Leaseweb。

@NeoAtlantis 有种东西叫U盾...

@xoxo CA和装不装控件没关系。
装控件只是为了客户端没有密钥的时候不会直接抛出一个安全协商失败的错误。