问题标签 [cac]

我在 Ubuntu 中使用 SCR3310 读卡器，我已经为智能卡读卡器安装了必要的驱动程序，它工作正常。我已经安装了 pscs_tools 来检查读卡器/读卡器是否工作正常。

我已经在线下载了一些公共 DoD 证书 (.cac)，其中包括根 CA 证书和其他中间证书。

我一直在阅读 X.509 证书，但不确定如何从上述设置中检索 X.509 证书。我还想知道如何使用 PKI（在 Java 中）对人员进行身份验证，并使用上述设置从 CAC 卡中检索唯一标识符/安全令牌。

谢谢，罗恩

过去几天我一直在对此进行一些研究，但尚未找到解决方案。我看到了一些建议，其中包括 php Exec() 函数来调用外部应用程序来处理这个问题。我一直在为基于 PHP 的站点寻找类似这样的教程 - http://securitythroughabsurdity.com/2007/04/implementing-smart-card-authentication.html。对此的任何建议或指导将不胜感激。

谢谢，杰瑞

编辑 - 我正在查看这篇文章如何使 php 应用程序需要智能卡身份验证，但这与我的目标不相关。SSLVerifyClient 是否可以与智能卡一起使用？

我正在尝试启用部署在 JBoss 4.2.3 上的 Web 应用程序，以便在客户端计算机上使用 DOD 颁发的 CAC、ActivClient 和 IE 进行客户端证书身份验证。作为概念证明，我能够使用软证书（生成自签名证书，转换为 PKCS12 格式并导入 IE）为 JMX 控制台进行客户端证书身份验证。我还可以使用我的示例（演示）CAC 在线向 TriCare 进行身份验证，大概是演示用户。

但是，我尝试从 CAC 导出证书，并将其导入我的 JKS 信任库，使用 CN 条目作为别名（不确定是否有必要），但它根本不起作用。我在 JBoss 日志中收到一条错误消息，提示“链中的空证书”，并且客户端没有提示选择证书或输入 PIN。我最好的理论是我没有正确的信任库中的证书，所以它不知道从客户端请求什么证书，但我不知道如何确认这种怀疑，或者可能有什么问题。

将 JBoss 与 Apache 放在一起会使这个过程更容易吗？（这是一个内部应用程序，所以我们一直让 JBoss 成为 Web 服务器。）

升级到较旧的 JBoss 版本会有所帮助吗？

是否有我可以在某处启用的调试语句让我更清楚地了解正在发生的事情？

某处是否有分步文档？我如何获得这方面的专业知识？我一直在根据 JBoss 4 在线文档、“JBoss in Action”、“Core Security Patterns”和一些在 SO 中涉及到这个问题的 Q&A 来拼凑我的解决方案。

任何帮助将不胜感激！

我正在尝试使用针对 CAC 卡 (PKI) 的 ActivClient BSI。

如何获取容器的 AID？

目前，我使用的是我在 ActivClient UI 中看到的 AID。这些值是恒定的吗？

如果是，我在哪里可以找到所有这些常量的列表？

如果不是，我如何以编程方式获取这些值？

谢谢，

马坦

我有一个使用 LibCurl 的 C 应用程序（LibCurl 是一个与 Web 服务器建立 HTTP 连接的 C API）。使用 LibCurl 我需要从需要客户端证书的 HTTPS 服务器下载文件。

到目前为止，我们的技术解决方案效果很好。

我的问题是我们需要使用的客户端证书位于 DoD CAC 卡上。我需要能够从 DOD CAC 卡中提取客户端证书（从我的 C 应用程序中）并将其写入文件或仅引用 CAC 上的文件。然后，这个写入或引用的文件将在我的 HTTPS 连接中指定为我的客户端证书。

我不知道如何从 DoD CAC 卡中找到或引用客户端证书。很感谢任何形式的帮助。谢谢。

我需要启用使用军用通用访问卡/个人身份验证系统登录到由 Drupal 支持的新站点。

我遇到过这个模块：http ://drupal.org/sandbox/larquin/1292622但没有代码。

Drupal 有可用的模块吗？如果没有，是否有人知道我可以查看的任何 PHP（或任何其他语言）示例代码以作为模块的基础？

或者，是否有另一种方法来支持这种不需要专用模块的身份验证方法？（例如 ActiveDirectory？Apache 配置？等）

我试图弄清楚在现有 Spring Security 实现中在何处以及如何实现 PKI 身份验证。

我在 tomcat 中更改了 server.xml 的配置，使其具有两个连接器来处理“普通”用户名和密码身份验证，然后是“PKI”身份验证。不同之处在于 PKI 连接器启用了 clientAuth 并指向机器上颁发的信任库。

这允许用户选择他们想要的身份验证方式，他们可以单击正常的用户名/密码身份验证转到一个连接器，或者他们可以单击 PKI 身份验证来使用另一个。我的 tomcat 配置正确提示用户使用他们的证书并输入他们的 pin，在该 pin 处我收到带有 X509Certificate 证书链的 HttpServletRequest。

所以现在我已经设置好了，如何配置 Spring Security 以允许任何一种形式的身份验证？我试图弄清楚如何使用证书的 EDI 作为用户名/密码的替换，并且仍然进行安全检查，例如检查到期日期、查看卡是否被吊销等。

非常感谢任何想法或链接，谢谢！

有人知道在哪里解释或记录了 PDF417 条形码（CAC 前面）中使用的 EDIPI / CII 压缩方法吗？

我找到的最接近的参考是这个文件：http ://www.cnic.navy.mil/navycni/groups/public/@hq/@cacpmo/documents/document/cnicp_a282327.pdf但它并没有真正解释压缩 -将字符串转换为 base-32 似乎并没有得到相同的结果。

显然是一个非常深奥的问题，但任何帮助将不胜感激。

谢谢！

我现在正在使用 ac#.net 应用程序，通过允许用户选择他们的数字证书并输入他们的密码，我的智能卡身份验证工作正常。但是，我想取消允许用户选择他们的证书并自动为他们选择一个证书（每个用户都有相同的证书）。这样一来，当用户尝试进入该站点时，他们只会看到一个 pin 提示。关于如何去做这件事的任何想法？所有与我一起工作的用户都使用 Internet Explorer 7，并拥有带有 ActivIdentity 和 Tumbleweed 的工作站。

我正在尝试从具有 cac 卡身份验证的 squid 代理后面发出 https 获取请求。加载 opensc 引擎并获取证书和私钥似乎工作正常。下面是回溯和代码。

任何帮助是极大的赞赏。

追溯

代码