问题标签 [cac]

我有一个 ASP.NET 应用程序，它应该读取客户端 CAC 上的证书。

我的环境：Visual Studio 2012 IIS Express

在 IIS Express 中，我为客户端和服务器运行两个单独的站点。身份验证在服务器上进行。

我的服务器和客户端项目在 VS 中具有以下属性：

• 匿名身份验证 = 已启用
• SSL 启用 = 真
• Windows 身份验证 = 已禁用
• 托管管道模式 = 集成

在两个站点的 Web.config 文件中，另一个站点是通过 https://localhost:<port>

服务端代码中有一行： string mycert = HttpContext.Request.ClientCertificate.Subject;
假设向CAC卡请求客户端的证书。这是我遇到麻烦的地方，因为我认为与客户端证书相关的所有字段都没有值（空或零）。

Q_1：如何读取客户端的 CAC 证书以便在服务器上进行身份验证？
Q_2：web.config 文件中有什么我需要更改的吗？
Q_2B：我看到了一些关于 oneToOneMapping 的内容，这可能是问题所在吗？
Q_3：我离这个还远吗？如果是这样，请告知。

谢谢！

我不知道如何让我的 PHP 网站注册并使用 CAC 通用访问卡登录。我在过去的一年里开发了一个网站，但我不能因为这个而卖掉它。我没有任何线索。没有 HTTPS 没有 SSL 没有 PKI。

我有一个客户想在我们的网站上实施 CAC。通常，用户已经拥有基于分配给他们的证书的访问权限。

他们希望通过在单击按钮登录时输入他们的 CAC PIN 码来进行验证。

我正在使用 ActivClient 来管理 CAC，但我不知道如何让网站与读卡器通信以让用户输入密码并进行验证。

这是通过 IIS 设置完成的，还是我必须更新我的代码才能以某种方式与中间件通信？

提前致谢

我可以在 Android 上从 PB 的 Tactivo 智能卡读卡器读取智能卡，但不熟悉验证过程。这是我必须阅读输入的示例：

如果有人在智能卡/CAC 卡验证/身份验证方面有经验，请给我一些指导、示例或可以解决的问题。因为那里的文档很少。

更新：我有一个想要使用智能卡保护的 Android 应用程序。我可以使用 Precise Biometrics Tactivo 智能卡读卡器读取任何智能卡的输入。如何验证/验证此输入以仅允许某些用户访问应用程序？

我正在创建一个要求用户通过登录名和密码进行身份验证的 Vaadin Web 应用程序，我想知道是否可以添加 CAC 身份验证作为另一种身份验证方式。

总之，我的目标是如果用户已经通过其 CAC 身份验证，则允许访问该网站，或者如果用户未通过 CAC 身份验证，则需要标准登录（名称/密码）

通过搜索和谷歌搜索，我找到了Java PKCS#11，但它看起来像是一个用于桌面集成的库。

我也看过这个和这个帖子，看起来与我的情况相似，但实际上并非如此。第一个是通过配置 Web 服务器来讨论整个 Web 应用程序的认证要求。第二个将 Java PKCS#11 作为桌面解决方案。

同样，我希望拥有的是“并行”登录，如果浏览器向服务器发送 CAC 证书，则服务器不应该要求标准登录，否则是的。可能吗？此外，如果将 CAC 证书发送到服务器，是否有办法检索有关此 CAC 的数据，例如所有者的姓名？

我目前有一个用 C# 开发的应用程序，可以帮助我管理 Share-point 2013 站点的权限。最近，我了解到我们可能会丢失本地实例并转移到另一个位于 cac 强制 IIS 后面的实例。我已将我的一个测试站点转换为需要证书，并尝试了几种将证书发送到 IIS 服务器的方法，但我仍然得到

“远程服务器返回并出现错误：(403) Forbidden。

以下是我尝试过的一些事情。

pki.GetClientCertificate是一种方法，我在这种情况下返回选定的证书是我的 cac 证书。SharePoint 设计器在没有问题或提示的情况下连接，这很有趣。对此问题的任何帮助将不胜感激。

只是为了添加一些我尝试过的东西

uli 用户名是转换为用户名的证书我有一个进行转换的类。密码是转换为安全字符串的密码。即使将凭据添加到上下文中，我也会收到相同的消息。

我希望我只是错过了一步，并且有人可以指出我正确的方向。用户有一个 CAC，它通过 IIS 使用他们的 PIN 进行身份验证。输入后，我需要验证网站中的用户，而无需输入用户名或密码。我无法使用活动目录身份验证。我现在假设表单身份验证。

假设登录的用户已经注册，并且他们的信息以及允许的角色都在数据库中（我可以根据 CAC 上的客户端证书中的信息查找）......我需要什么过程实施/阅读以在网站中验证所述用户？

提前感谢您的建议/信息。

布赖恩

我已经对这个主题进行了一些搜索，但没有找到显示我想要做什么的东西。我确定我的查询是错误的，但不知道如何措辞。

我的 VPS 配置了 Centos 7、LAMP 和 OpenSSL 1.0.1e-fips。

我的域受 TLS 保护，在https://www.ssllabs.com/ssltest上得分为A。会像我的其他域一样是 A+，但我认为它无法通过 CAC 身份验证部分来测试 HST。

无论如何，我想在进行身份验证之前检测到是否插入了智能卡。如果没有插入卡，我想重定向到另一个页面。

这可能吗？

任何帮助或链接将不胜感激。

谢谢， 子

编辑：我有 CAC 身份验证在域上工作。

我使用 ActivClient 并设置 IIS 来协商 CAC 身份验证的证书。目前该应用程序正在执行以下操作

1. 要求提供证书
2. 用户选择证书
3. ActivClient 提示输入 pin 并对其进行验证
4. 网站加载用户并将其发送到登录页面

现在这是我遇到一些问题的地方。似乎一切正常，但是一旦我重定向到登录页面，我就开始收到一个奇怪的错误。

我点击了几次取消，我得到了这张图片

再次选择证书后，我要么必须在 ActivClient 上重新输入 pin，要么它接受它并继续前进。

任何想法为什么会发生这种情况？

谢谢！

我的雇主希望我使用 PKCS#11 DLL 从旧智能卡中读取 CHUID 记录，他认为这是“CAC NG”卡。我在这些卡上找到了有关 CHUID 记录的各种信息......

• 注册标识符（RID，A0 00 00 01 16）；
• “App ID”和 GSC-IS 对象标识符（均为 30 00）；
• “申请卡 URL”（F3 10 A000000116 01 3000 3000 00 00 00000000）；

...但是我还没有找到通过 PKCS11 接口使用其中任何一种的方法，或者至少我还没有找到一种方法可以诱使卡放弃该信息。它似乎需要一个标签或某种 DER 编码的 ASN.1 对象标识符（我发现的文档明确指出它不是 GSC-IS 对象标识符）。

我还尝试列出卡上的所有对象，希望找到我可以使用的标签，但在输入 PIN 之前，只有六个对象可见：“ID 证书”、“签名证书”和“加密”各两个证书”。输入 PIN 后出现两个没有标签的对象，但 CHUID 记录应该始终可用，所以我假设它们不相关。

根据 PKCS11 库，此卡上根本没有可用的数据对象。

这甚至是“CAC NG”卡吗？会不会是旧的“CAC v1”，而根本没有 CHUID 记录？