11

DOD CAC カード ベースのクライアント証明書認証を Apache で機能させるために必要なすべての手順を理解しましたが、受け取った証明書からユーザーの適切な GUID を取得するのに苦労しています。CAC カードが更新されても変更されない、証明書で使用可能な GUID はありますか? 次のような SSL_CLIENT_S_DN を使用することを考えていました。

/C=US/O=米国政府/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789

ですが、CACカードを更新すると末尾の数字が変わると聞きました。これは本当ですか?GUID に使用するより良い情報はありますか? ユーザーの電子メール アドレスも取得したいのですが、証明書から受け取った情報に記載されていません。表示されていないカスタム拡張機能で電子メール アドレスを使用できますか?

ありがとう!

4

7 に答える 7

6

末尾の数字が変化する例がたくさんあります。最終的には、ユーザーが新しい CAC を取得した場合、その新しいカードを自分のユーザー アカウントに再度関連付ける必要があるというプロセスを使用することになりました。これは、DKO (Defense Knowledge Online) など、現在ほとんどの国防総省システムでのプロセスです。提供された CAC 証明書のデータがデータベースにない場合、ユーザーはユーザー名とパスワードを使用してシステムにログオンする必要があります。資格情報が正しい場合、その CAC の識別情報がシステム内のユーザーのアカウントに関連付けられます。

少なくとも私たちはそうしました。

そして、電子メールアドレスへのアクセスに関する限り、@harningt は正しいです。提供される証明書によって異なります。

于 2009-07-24T22:49:19.347 に答える
5

きっと皆さん、もう答えは分かっていると思います。しかし、後でこの投稿に来る他の人のために、いくつかの注意事項があります。

これは DISA 参照サイトです: http://iase.disa.mil/pki-pke/

PKI はインフラストラクチャです。PKE は、PKI 認証を使用してコンピューター/サーバー/アプリケーションを有効にします。

これは、PKE 管理者の入門ガイドです。

http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx

于 2014-02-13T13:30:16.867 に答える
5

DOD EDI PIN は変更しないでください。

DOD411 サイト (CAC が必要) にアクセスして誰かを検索すると、請負業者だったときの証明書が表示され、同じ人物が DOD の民間人として表示される例がたくさんあります (これは新入社員に多い)。

空軍、海軍の請負業者、陸軍の請負業者を経て、現在は DA 民間人として働いている新入社員の 1 人を調べました。

同じ DOD EDI PIN。

CN (Common Name) は変更される可能性がありますが (結婚などにより)、10 桁の DOD EDI は変更されません。

どの証明書に対して認証するかについては、ほとんどのサイトが電子メール証明書に対して認証していますが、代わりに ID 証明書を使用するサイトもあります。

マイク

于 2010-11-22T17:31:17.650 に答える
2

まず、多くの PKI 対応の国防総省サイトは、国防総省の ECA プログラム (Verisign、IdenTrust、ORC) に参加する商用 CA を通じて発行されるハードウェア トークンをサポートする必要があります。これらの ECA 発行の証明書には、この「番号」である DOD EDI PN も含まれていません。

私が理解しているように、特定の人の数を安定させるために何らかの努力が払われているはずです. たとえば、国防総省での民間の仕事を辞めて請負業者に就職し、結婚して名前を変更し、仕事を辞めて沿岸警備隊に入隊したとしても、国防総省の EDI PN は同じである必要があります。しかし、実際には、そのように機能するとは思えません。

仮にそうだったとしても、アプリケーションに対して同じアクセス権を持つべきではないでしょう。雇用が変わるたびに、CAC の証明書は取り消されなければなりません。アプリケーションが証明書の共通名またはサブジェクト代替名のみを調べている場合、そのサブジェクトの承認に影響を与える可能性がある組織内の変更を見逃す可能性があります。

特定の証明書 (発行者とシリアル番号) に基づいて認証を行うことは、ユーザーにとって苦痛ですが、セキュリティと堅牢性の観点からは理にかなっています。

于 2009-09-17T17:58:39.677 に答える
1

他の情報 (名前、組織など) は、番号とは対照的に時間の経過とともに現実的に変化する可能性のある情報のビットであるため、個人の一意の識別子として末尾の番号を使用するという議論を聞いたことがあります。しかし、これを事実として実際に述べている公式文書やその他の信頼できる情報は見たことがありません。

興味深いことに、Apache と DOD CAC を有効にする段階的なプロセスについて説明しているドキュメントはありますか? そもそもそれが、実際に私をこの質問に導いたものです:)

于 2009-03-16T19:28:28.203 に答える
1

電子メール アドレスは、サブジェクトの別名フィールドセットで使用できます。これは CAC 証明書に依存しますが、SSL ログインに使用されるものにはそれが含まれている必要があります (これは電子メール署名証明書でもあります)。

主題は、特定の人にとって頻繁に変更されることはありません。この番号は、個人を特定する一意の番号です。この番号は、Windows ログインのサブジェクト代替名の UPN フィールドにも存在します (NUMBER@MIL などの形式)。

于 2009-05-23T21:30:53.043 に答える
0

PIVから所有者のSSNを取得できます。それは変わらない

于 2010-01-28T14:16:09.177 に答える