问题标签 [cac]

我有一个 Java EE 应用程序需要实现 PDF 文件的电子签名。用户需要能够单击链接，该链接将根据数据库中的数据生成 PDF 文件，并在浏览器中查看 PDF。然后，用户需要能够使用存储在其智能卡上的私钥“签署”文档（该智能卡插入到他们正在使用的 PC 上的智能卡读卡器中）。用户使用的是 Windows 7 和 JRE 1.6

我希望使用 iText 生成 PDF，但不清楚我将在客户端使用什么解决方案从智能卡中提取信息，然后应用该信息来签署 PDF 并将 PDF 显示为签名（显示用户的签名或更新文档以说明它已签名）。

有没有人这样做过并有解决方案？

我在 Web 服务器 (apache) 中实现了强身份验证，效果很好。但我想实现一个 java 类，该类必须将 cac ID 和 suject 名称与 java .properties 文件或 XML 上的名称进行比较

我正在使用 Java 5 - 6、Spring 3.1 和 WebLogic 11g。

我工作的地方（政府）现在要求人们插入 CAC 卡才能进入他们的 PC。

我想学习如何使用服务器端 Java 从通用访问卡 (CAC) 卡中读取信息，可能用于身份验证和数字签名。

我在谷歌上发现的东西很少，我不知道从哪里开始。

是读取 CAC 生成的证书，然后通过浏览器发送的问题吗？

如果是这样，我也不知道如何从那开始。谁能指出我的教程和一些代码示例？

我正在使用 Wininet 库与客户端证书（存储在智能卡上）建立 SSL 连接。

问题是我看到每个已发送的 HttpRequest 都访问了智能卡。

从 Fidler 和 wireshark，我看到： 1. 所有请求都是 HTTP 1.0 而不是 HTTP 1.1。2. 每次连接都会进行完整的 SSL 握手 3. 我不会被要求为每个请求输入 pin 码（仅适用于第一个请求），但我发送的每个请求都会访问智能卡。

有什么想法/线索吗？实际上，问题可能与wininet无关，但证书存储应该采取额外的步骤？

谢谢你，扎哈尔

我使用 apache 服务器作为 SSL 终止符进行相互 SSL 身份验证。

是否可以向 Apache 服务器添加一些配置以验证所有中间证书（客户端证书链）是否具有 basicConstraints 扩展。

我在使用带有 apache 的 Oracle Web 服务器插件时看到了这样的配置：

EnforceBasicConstraints - 此参数关闭了 SSL 证书验证中存在的安全漏洞，其中具有无效 V3 CA 证书的证书链将不会被正确拒绝。这允许具有无效中间 CA 证书、以有效 CA 证书为根的证书链被信任。X509 V3 CA 证书需要包含 BasicConstraints 扩展，标记为 CA，并标记为关键扩展。此检查可防止伪装成中间 CA 证书的非 CA 证书。

问题是没有那个插件就可以有这样的功能吗？

谢谢

我想使用位于我的通用访问卡 (CAC) 上的证书签署 .NET 程序集。我发现的大多数说明都涉及从证书 (.cer) 文件创建个人信息交换 (.pfx) 文件。但是，在创建 pfx 文件的过程中，我被要求提供我没有的私钥。我只有一个 PIN，允许我使用我的 CAC 登录并验证网络资源，这不允许我使用 pfx 证书进行签名。

我创建了强名称密钥文件并使用强名称密钥文件对程序集进行签名。对于我现在编码的内容，我必须使用我的 CAC 上的证书。

我正在寻找允许我使用我的 CAC 上的证书来签署我正在构建的程序集的过程。

请确认我正确理解 CAC 的这些 ActivIdentity 概念。

Per Session：用户运行 IE 并点击需要 CAC 身份验证的 SSL 网页。他进行身份验证，然后……他进入了。如果用户打开另一个选项卡（另一个进程），并尝试访问同一个网站，那么他已经通过了身份验证。因此，他不需要重新进行身份验证。

Per Process：用户通过成功的 CAC PIN 验证打开第一个网页（同上）。现在，当他打开一个新选项卡来访问 SSL 网站时，他需要重新进行身份验证，因为他正在访问一个新进程。

我必须使用 Java 使用 DOD 颁发的 CAC（不使用任何用户名或密码）对 AD 服务器中的用户进行身份验证。我将在机器上安装 CAC 中间件 ActiveClient，这是访问 CAC 上的内容（用户证书）所需的。在一些研究中，我发现应该使用 Kerberos + PKINIT。我不确定从哪里开始。有人可以帮我吗？

每天我都需要连接到需要使用 CAC 进行身份验证的网站。我连接这个网站，然后检查是否有任何通知给我。

我想自动化这个程序。我打算使用HttpClient，但我不确定如何执行服务器所需的实际检查。远程服务器未使用 SSL，而是使用 SEAM 框架。

关于如何做到这一点的任何提示？我不需要 Java 代码，只需要关于如何开始这个开发的想法。我已经知道如何加载卡和证书，但不知道如何使用此信息通过身份验证。

我看到在 stackoverflow 上还有一些其他的 Java 和 CAC 帖子。我是所有这些东西的初学者，我仍在尝试制定一个框架，让我知道该做什么以及该去哪里。

我正在为一个大型组织工作，该组织使用带有 Windows 7 框的 CAC 来验证想要进入其 PC 的用户。他们将 CAC 插入键盘并输入 PIN。

我的老板想改变我们的 Java Webap，这样如果他们的计算机中有 CAC，它就不会让用户进行身份验证。如果没有，他们将通过传统的 LDAP 登录。

我们正在使用 WebLogic 11g 和 Java 6。

从谷歌搜索似乎有两种方法：

1. 实现一个小程序来读取用户的 CAC 并向 webapp 发送 SSL 证书。

2. 在 web 服务器中实现“相互 SSL 认证”，这会导致浏览器将 CAC 上的 SSL 证书发送到 webapp

我对自己的选择有正确的评估吗？

哪种解决方案更容易？

从长远来看，哪个更容易，更强大？

我对 SSL 几乎一无所知，这在两种解决方案中似乎都很常见。我发现了一些关于抽象概念的 SSL 教程。谁能推荐一个我想做的好教程？

非常感谢您提供任何信息或提示

史蒂夫