我已经弄清楚了在 Apache 中获得基于 DOD CAC 卡的客户端证书身份验证的所有必要步骤,但现在我正在努力从我收到的证书中为用户提取一个好的 GUID。证书上是否有可用的 GUID 在 CAC 卡更新时不会更改?我正在考虑使用看起来像这样的 SSL_CLIENT_S_DN:
/C=US/O=美国政府/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789
但是我听说更新CAC卡时末尾的数字会改变。这是真的?是否有更好的信息可用于 GUID?我还想获取用户的电子邮件地址,但在我从证书收到的信息中看不到它。电子邮件地址是否在我没有看到的某些自定义扩展中可用?
谢谢!
我们遇到了很多情况,最终这个数字发生了变化。最终,我们被迫使用这样一种流程,即如果用户获得新的 CAC,我们要求用户将该新卡与他们的用户帐户重新关联。这就是现在大多数 DoD 系统的流程,例如 DKO(Defense Knowledge Online)和其他系统。如果我们的数据库中没有提供的 CAC 证书数据,用户必须使用用户名和密码登录系统。如果凭证正确,则该 CAC 的识别信息与系统中的用户帐户相关联。
至少我们是这样做的。
而且,就访问电子邮件地址而言,@harningt 是正确的。这取决于提供给您的证书。
相信大家到现在都已经找到答案了。但是对于稍后来这篇文章的其他人来说,只需注意几点:
这是 DISA 参考网站:http: //iase.disa.mil/pki-pke/
PKI 是基础设施,PKE 为您的计算机/服务器/应用程序启用 PKI 身份验证
这是 PKE 管理员入门指南:
http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx
DOD EDI PIN 不应更改。
我可以给你很多例子,你可以去 DOD411 站点(需要 CAC)查找某人,它会显示他们是承包商时的证书,然后再次显示同一个人,现在作为国防部文职人员(我们看到这很多与新员工)。
我刚刚查找了我们的一位新员工,他们曾在空军中任职,然后是海军的承包商,然后是陆军的承包商,现在以 DA 文职人员的身份为我们工作。
相同的 DOD EDI PIN。
CN(通用名称)可以更改(例如,由婚姻产生),但十位 DOD EDI 不应更改。
至于要根据什么证书进行身份验证,大多数网站都根据电子邮件证书进行身份验证,但有些网站确实使用身份证书。
麦克风
首先,许多启用 PKI 的 DOD 站点应支持通过参与 DOD 的 ECA 计划(Verisign、IdenTrust、ORC)的商业 CA 发行的硬件令牌。这些 ECA 颁发的证书甚至不包括这个“数字”,即 DOD EDI PN。
据我了解,应该做出一些努力来保持特定人的数字稳定。例如,即使我辞掉了在国防部的文职工作并为承包商工作,结婚并改名,辞掉工作并加入海岸警卫队,我的国防部 EDI PN 也应该是相同的。但是,在实践中,我怀疑它是否会这样工作。
即便如此,我可能也不应该拥有对应用程序的相同访问权限。每次我的工作发生变化时,我的 CAC 证书都应该被吊销。如果应用程序只查看证书的通用名称或主题替代名称,它将错过组织中可能影响该主题授权的更改。
基于特定证书(颁发者和序列号)的身份验证对用户来说是一件痛苦的事情,但从安全性和稳健性的角度来看,它确实是有意义的。
我听说过使用末尾的数字作为个人的唯一标识符的论点,因为其他信息(姓名、组织等)是与数字相反会随着时间实际发生变化的信息位。但是,我还没有看到官方文件或任何其他权威信息实际上表明这是事实。
只是好奇,是否有文档说明启用 Apache 和 DOD CAC 的分步过程?这就是首先让我想到这个问题的原因:)
电子邮件地址在主题备用名称字段集中可用。这取决于 CAC 证书,但用于 SSL 登录的证书应该包含它(它也是电子邮件签名证书)。
对于给定的人,主题不太可能经常改变。该数字确实是识别一个人的唯一数字。此编号也将出现在 Windows 登录的主题备用名称中的 UPN 字段中(以 NUMBER@MIL 等形式)
您可以从 PIV 中检索所有者 SSN。那不会改变