Fortify允许用户在其浏览器中生成X.509证书

Fortify是由证书颁发机构通过CA安全委员会赞助的开源应用程序，现在可用于Windows和Mac。 Fortify应用程序可供所有用户免费使用，可将用户的Web浏览器连接到用户本地计算机上的智能卡，安全令牌和证书。 这可以允许用户在其浏览器中生成X.509证书，从而取代了对已弃用的<keygen>功能的需求。

Web Cryptography API（也称为Web Crypto）通过一组JavaScript API为Web浏览器提供一组加密功能。

但是，Web Crypto仅提供加密原语 - 特定系统所基于的一般系统和方法。例如，RSA是公钥密码系统构建的原语之一。

这对于作为平台的Web来说非常棒 - 它使开发人员可以轻松访问跨平台功能。但是，这也意味着Web Crypto并未设计为包含一些被认为对整个Web不太重要的用例。

比方说，Web Crypto不解决与硬件安全设备（即智能卡）或证书生成的兼容性问题。这给证书颁发机构（CA）及其客户带来了问题，因为浏览器目前缺乏生成代码签名和S / MIME证书的功能，而这又是因为<keygen>（HTML规范的一部分）已被弃用而无需替换。

尽管为了安全漏洞弃用了<keygen>，Web Crypto规范承认该API并不能直接替代<keygen>。

此API虽然允许应用程序生成，检索和操作密钥材料，但并未专门解决特定类型密钥存储中密钥的配置问题，例如安全元素或智能卡。

现在，某些浏览器仍然支持<keygen>，例如Firefox包含支持，但Mozilla的开发者网站指出该功能已弃用，将来可能会被删除。但Google Chrome在第49版中弃用了<keygen>，并在第57版中完全删除了它.Microsoft Edge不支持该功能，也不打算这样做。

失去<keygen>，则失去了一种以用户友好方式通过浏览器在本地生成证书的方式，但这是注册消费者代码签名和S / MIME证书所必需的。 如今，Fortify可以填补这个空白。

Fortify是一个灵活的应用程序，它在Web浏览器（或其他用户代理）与用户本地计算机上的证书或智能卡之间提供链接。虽然它不是完全无缝的，因为它需要用户安装一个额外的应用程序，它确实填补了<keygen>的弃用创建的空白，并且可以提供比这更多的功能。

Fortify通过直接解决API未设计要处理的关键功能来扩展Web Crypto API，主要是允许Web应用程序访问智能卡，硬件安全令牌（如Yubikey 4和NEO）和本地证书存储（用于X. 509证书）。支持Web Crypto API的网站和Web应用程序可以轻松地开始支持Fortify访问这些本地设备和证书。

Fortify提供了一种允许用户控制的权限模型，允许他们批准和管理哪些来源（站点）可以利用其强大的功能。对于CA，Fortify可以通过允许基于浏览器的注册表单连接到用户的本地证书存储区来进行证书和密钥生成，从而取代对<keygen>的需求。

目前，如果用户的默认设置不支持<keygen>，CA别无选择，只能将用户重定向到其他web浏览器。在Firefox中，用户必须另外引导导出过程，因为浏览器使用操作系统中的独立密钥库。安装后，Fortify提供了比<keygen>的典型浏览器实现更好的用户体验。

由于<keygen>本身不与PKCS＃11 API集成，因此它还要求用户采取额外的步骤导入密钥库，这为不良密钥管理创造了机会。<keygen>不仅提供了低于用户的体验，还提供了低级别的安全性。证书从浏览器导出为.p12文件，可以受密码保护，但通常使用易受破解的弱加密算法。这使用户的私钥上的安全控制较弱。

使用硬件令牌或HSM生成证书时，Fortify可以通过其PKCS＃11库与其连接，从而保证密钥已在该设备上创建并保留 。支持开源PKCS＃11标准是一种可互操作且可靠的方式，可支持当今使用的各种硬件令牌。

我们认为这是对<keygen>的重大改进，<keygen>由于其年龄和设计目标而具有过时的用户体验。 值得注意的是，Fortify以对网络生态系统健康的方式解决了这个问题。 Fortify允许CA将Web Crypto的功能扩展到W3C规范之外，为行业提供了一种可靠的方式来满足其需求，而不需要包含不适用于大多数用户的功能，从而减少浏览器的体积。

支持Web Crypto的Web应用程序也可以使用Fortify注册其他类型的X.509证书，作为使用客户端证书签名/加密文档和用户身份验证的方法。

Fortify是开源的，与Windows 7+和OSX 10.12+兼容，适用于所有主流浏览器。 有关如何使用Fortify生成证书的更多信息，请联系您的证书颁发机构。