6

如何使用国防部 CAC 卡实现 Apache(在 Linux 中)身份验证?我听说可以做到,但没有遇到任何细节。目前我们使用 Windows Active Directory 进行 Apache 身份验证,但仅使用登录名/密码。很快要求将仅使用 CAC 卡。任何提示将不胜感激。

4

1 回答 1

5

为 2-way SSL 配置 Apache Tomcat(版本 6.0.18)

  1. 在文本编辑器中打开 server.xml;位于您的tomcat目录中<TOMCAT_HOME>\conf\server.xml
  2. 查找此文本块并取消注释:
<Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

3. 将此文本块修改如下:

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>
  1. 启动 Tomcat 并使用您喜欢的浏览器导航到https://localhost:8443/ 。
  2. 浏览器会提示您输入客户端证书(注意:如果没有提示您输入证书,您可以尝试在 IE 中使用工具 > 互联网选项 > 证书 > 导入将其导入)。选择正确的客户端证书。
  3. 如果您看到一个网站,则说明 Tomcat 已安装并且运行正常。如果您看到找不到页面或其他错误,则说明 Tomcat 安装或配置不正确。
  4. 为客户端 SSL 支持设置 Tomcat。您还必须为 tomcat 提供信任库的运行时位置和密码。您可以通过命令行或在 ide 中运行 tomcat 来启用它: -Djavax.net.ssl.trustStore=C:{somedir}\localhost.jks -Djavax.net.ssl.trustStorePassword=password

将公钥/私钥证书安装到浏览器

  1. 您的浏览器必须设置为将您的证书识别为来自受信任的证书颁发机构,并知道如何使用私钥识别您的身份。

火狐使用说明:

  1. 在 Firefox 的菜单中,导航到工具 > 选项
  2. 单击高级 > 加密选项卡 > 查看证书按钮
  3. 单击权限选项卡
  4. 单击导入按钮
  5. 找到并选择您希望浏览器识别为合法 CA 的 CA 证书,然后单击打开
  6. 单击使用此证书签名时要信任的所有目的。选项是网站、电子邮件和软件开发人员。
  7. 点击确定

Firefox 现在将信任使用您刚刚安装的证书签名的内容。

IE 使用说明:

  1. 导航到工具 > Internet 选项
  2. 选择内容选项卡
  3. 单击标有证书的按钮
  4. 单击标记为受信任的根证书颁发机构的选项卡
  5. 点击导入
  6. 向导启动。单击下一步,然后选择您希望作为 CA 信任的证书文件
  7. 选择证书存储。点击完成
  8. 您将看到一个弹出窗口以确认安装。单击是

Internet Explorer 现在将信任使用您刚刚安装的 CA 颁发的证书签名的内容。

使用 PKI 加密,您的浏览器需要知道如何使用私钥向服务器识别您的身份。 为此,您必须手动安装证书。本例中导入的证书后缀为 .p12 Firefox 使用说明:

  1. 在 Firefox 的菜单中,导航到工具 > 选项
  2. 单击高级 > 加密选项卡 > 查看证书按钮
  3. 单击标有“您的证书”的选项卡
  4. 点击导入
  5. 导航到并选择您希望选择用来标识自己的证书。点击打开
  6. 输入与此证书一起使用的密码,然后单击确定

您的证书现已安装,可用于向使用 PKI 加密的服务器识别您的身份。如果您希望在不同的时间使用不同的身份来识别自己,则可以重复上述步骤以安装额外的证书。IE 使用说明:

  1. 导航到工具 > Internet 选项
  2. 选择内容选项卡
  3. 单击标有证书的按钮
  4. 选择个人选项卡
  5. 点击导入
  6. 向导启动。单击下一步...,然后选择您希望用于标识自己的 pki 文件。点击下一步
  7. 键入证书的密码和所需的任何选项
  8. 选择存储证书的位置,然后单击下一步 > 完成

您的个人证书现在已安装,您可以使用它向使用 PKI 加密的网站表明自己的身份。

于 2009-05-07T14:18:47.300 回答