6

国防総省の CAC カードを使用して Apache (Linux 内) 認証を実装するにはどうすればよいですか? できると聞いたことがありますが、詳細はわかりません。現在、Apache 認証に Windows Active Directory を使用していますが、ログイン/パスワードのみを使用しています。まもなく、要件は CAC カードのみを使用するようになります。ヒントをいただければ幸いです。

4

1 に答える 1

5

双方向 SSL 用に Apache Tomcat を構成する (バージョン 6.0.18)

  1. テキスト エディターで server.xml を開きます。tomcat ディレクトリにあります。<TOMCAT_HOME>\conf\server.xml
  2. 次のテキスト ブロックを探して、コメントを外します。
<Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

3. このテキスト ブロックを次のように変更します。

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>
  1. Tomcat を起動し、好みのブラウザーを使用してhttps://localhost:8443/に移動します。
  2. ブラウザーは、クライアント証明書の入力を求めます (注: 証明書の入力を求められない場合は、[ツール] > [インターネット オプション] > [証明書] > [インポート] を使用して IE にインポートしてみてください)。正しいクライアント証明書を選択してください。
  3. Web サイトが表示される場合は、Tomcat がインストールされ、正しく実行されています。ページが見つからない、またはその他のエラーが表示される場合は、Tomcat が正しくインストールまたは構成されていません。
  4. クライアント側の SSL サポート用に Tomcat をセットアップします。また、トラスト ストアとパスワードの実行時の場所を tomcat に提供する必要があります。これは、コマンド ラインから、または IDE 内で tomcat を実行する場合に有効にできます: -Djavax.net.ssl.trustStore=C:{somedir}\localhost.jks -Djavax.net.ssl.trustStorePassword=password

公開/秘密鍵証明書をブラウザにインストールします

  1. ブラウザは、証明書が信頼できる認証局から発行されたものであることを認識し、秘密鍵を使用してユーザーを識別する方法を認識できるように設定する必要があります。

Firefox の手順:

  1. Firefox のメニューで、[ツール] > [オプション] に移動します。
  2. [詳細設定] > [暗号化] タブ > [証明書の表示] ボタンをクリックします。
  3. [当局] タブをクリックします。
  4. インポートボタンをクリックします
  5. ブラウザに正当な CA として認識させる CA 証明書を見つけて選択し、[開く] をクリックします。
  6. この証明書で署名されたときに信頼するすべての目的をクリックします。オプションは、Web サイト、電子メール、およびソフトウェア開発者です。
  7. [OK] をクリックします。

Firefox は、インストールしたばかりの証明書で署名されたコンテンツを信頼するようになります。

手順:

  1. [ツール] > [インターネット オプション] に移動します
  2. [コンテンツ] タブを選択します
  3. [証明書] というラベルの付いたボタンをクリックします。
  4. [信頼されたルート証明機関] というラベルの付いたタブをクリックします。
  5. [インポート] をクリックします
  6. ウィザードが起動します。[次へ] をクリックし、CA として信頼する証明書ファイルを選択します
  7. 証明書ストアを選択します。クリックして終了
  8. インストールを確認するポップアップが表示されます。[はい] をクリックします

Internet Explorer は、インストールしたばかりの CA によって発行された証明書で署名されたコンテンツを信頼するようになります。

PKI 暗号化では、ブラウザーは、秘密鍵を使用してサーバーに対してユーザーを識別する方法を知る必要があります。 これを行うには、証明書を手動でインストールする必要があります。この例でインポートされた証明書のサフィックスは .p12 Firefox の手順:

  1. Firefox のメニューで、[ツール] > [オプション] に移動します。
  2. [詳細設定] > [暗号化] タブ > [証明書の表示] ボタンをクリックします。
  3. 「あなたの証明書」というラベルの付いたタブをクリックします
  4. [インポート] をクリックします
  5. 自分自身を識別するために選択する証明書に移動して選択します。[開く] をクリックします。
  6. この証明書と共に使用されるパスワードを入力し、[OK] をクリックします。

これで証明書がインストールされ、PKI 暗号化を使用してサーバーに対してユーザーを識別するために使用できます。異なる時期に異なる ID を使用して自分自身を識別したい場合は、上記の手順を繰り返して追加の証明書をインストールできます。手順:

  1. [ツール] > [インターネット オプション] に移動します
  2. [コンテンツ] タブを選択します
  3. [証明書] というラベルの付いたボタンをクリックします。
  4. [個人] タブを選択します
  5. [インポート] をクリックします
  6. ウィザードが起動します。[次へ...] をクリックし、身元の確認に使用する pki ファイルを選択します。[次へ] をクリックします
  7. 証明書のパスワードと必要なオプションを入力します
  8. 証明書を保存する場所を選択し、[次へ] > [完了] をクリックします。

これで個人証明書がインストールされ、PKI 暗号化を使用して Web サイトで自分自身を識別するために使用できます。

于 2009-05-07T14:18:47.300 に答える