問題タブ [cac]

「クラシック ASP」サイトを置き換える新しい Web サイト (ASP.Net、VB コードビハインド ページ、.Net 3.5) を開発しています。

一部のページは「公開」されており、残りは認証が必要です。この場合は、DoD 発行の CAC カードをキーボードから読み取ることによって行われます。

現在、「本番環境」では、IIS が特定のディレクトリ (この場合は /secure) にヒットしたときに認証チャレンジ (カードの読み取りと PIN の要求) を行い、そのツリー内のすべてのページが保護されるように IIS を構成しています。

カードからの情報の一部を確認する必要があるところまで来ていますが、開発中の Web サイトを「F5」すると、すべての Request.Clientcertificate が空になります。 Cassini ASP.Net 開発サーバー。

「ターゲット ディレクトリに SSL を配置するように IIS を構成する」という参照が表示されますが、私はこの開発用 PC で IIS を実行していません (これにすぐに遭遇する他の開発者もそうではありません)。サイトが最終的に本番環境にコピーされたときに、ネットワーク サポート担当者がこれを行う予定ですが、特定のセキュリティ機能を今すぐテストする必要があります。

VS2008 に付属のサーバーを構成して、CAC カードを読み取り、照会する必要があるサーバー/セッション変数を「ロード」するにはどうすればよいですか? または、.aspx または .aspx.vb ページ自体に、セキュリティ チャレンジをシミュレートまたはトリガーできるものはありますか?

前もって感謝します。

基本的に、Java を使用して政府の CAC カードとやり取りする方法を学び始める場所を探しています。

私の最終的な目標は、CAC カード認証 (PIN 番号による) を使用して、Tomcat/J2EE サーバーを使用してホストされている Web サイトへのアクセスを承認する方法を見つけることです。

しかし、どこかで始める必要があります。したがって、キーボードのカードリーダーに挿入されたCACカードからCACカード情報を読み取るための小さなJavaプログラムを作成することから始めます（数字キーパッドの上にCACリーダーを備えたDELLキーボード）。

Google で検索すると、 OpenSSOプロジェクトに置き換えられたcacard Java プロジェクト ( https://cacard.dev.java.net/ ) が見つかりました。しかし、それを使用してカードに接続したり、カードから読み取ったりする方法のサンプルコードが見つからないようです.

Javaを使用してCACカードと対話する方法を学び始めることができるように、サンプルコードがどこにあるか知っている人はいますか?

ありがとう

編集：

さらに調査した結果、ファイルclientAuth="true"のコネクタ要素に設定するだけでよいのではないかと考えていました。server.xml

http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

clientAuth: Tomcat がすべての SSL クライアントに対して、このソケットを使用するためにクライアント証明書を提示することを要求する場合は、この値を true に設定します。

DOD CAC カード ベースのクライアント証明書認証を Apache で機能させるために必要なすべての手順を理解しましたが、受け取った証明書からユーザーの適切な GUID を取得するのに苦労しています。CAC カードが更新されても変更されない、証明書で使用可能な GUID はありますか? 次のような SSL_CLIENT_S_DN を使用することを考えていました。

/C=US/O=米国政府/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789

ですが、CACカードを更新すると末尾の数字が変わると聞きました。これは本当ですか？GUID に使用するより良い情報はありますか? ユーザーの電子メール アドレスも取得したいのですが、証明書から受け取った情報に記載されていません。表示されていないカスタム拡張機能で電子メール アドレスを使用できますか?

ありがとう！

国防総省の CAC カードを使用して Apache (Linux 内) 認証を実装するにはどうすればよいですか? できると聞いたことがありますが、詳細はわかりません。現在、Apache 認証に Windows Active Directory を使用していますが、ログイン/パスワードのみを使用しています。まもなく、要件は CAC カードのみを使用するようになります。ヒントをいただければ幸いです。

ランダムな個人がセキュリティ証明書を使用してイントラネット サイトにアクセスしようとする問題。ほとんどのユーザーは、スマートカード/CAC 証明書を選択し、暗証番号を入力するだけで、サイトのページへのアクセスが許可されます。

ただし、無作為に個人が PIN を入力すると、すぐに IE 警告ダイアログによって、ドメインのユーザー名とパスワードを入力するように再度求められます。ネットワーク ドメインのユーザー名と MS パスワードを入力しない場合、401.1 Unauthorized を受け取ります。

これらの特定のユーザー (成功したものと同じ証明書を選択している) がドメイン名/pwd の入力を求められている理由について、私は混乱しています。さらに、セキュリティ証明書を通過するために CAC を必要とする他のサイトにアクセスできます。

特定のサイトの CAC カードを介してユーザー トークンを確立できない可能性がありますが、その理由は不明です。これらのユーザーは 401.1 を取得しているため、どういうわけか、CAC 資格情報に関連付けられた ID が検証されていません。

IIS の場合: 匿名ユーザーは許可されません (オフ)。SSL では 128 ビット暗号化が必要です。統合 Windows 認証がチェックされています。クライアント証明書の受け入れ サイトの web.config ファイルでは、すべてのユーザーが許可され、匿名のみが拒否されます。

まったく同じセットアップが開発ボックスにまったく問題なく存在します。これは、これらの個人からの CAC 情報を適切に受信/処理する実稼働サーバーの機能に問題があること、またはセキュリティの方法で奇妙なことが起こっていることを示しています。証明書は、クライアントの CAC x.509 証明書に関連しています。

役に立つかもしれないもう少しの情報: 最初に CAC を要求するブラウザー プロンプトは、サイトのコードとは関係なく、IIS のサイトにセキュリティ証明書を適用することで有効になります。したがって、ブラウザを介してActivClientエージェントに関連付けられたクライアント証明書を探す何かが証明書に書き込まれていることを私に示しています???

繰り返しになりますが、私はおそらく私が何について話しているのかわかりません。ここに骨を投げて、誰かが同じ問題を抱えているか、何かアイデアがあるかどうかを確認してください。

ご意見、ご質問、アイデアをお寄せいただきありがとうございます。

ユーザーが入力したときに再認証させたいブラウザベースのアプリケーションが 1 つあります。そのため、ユーザーがその URL にアクセスすると、再認証が必要になるように PIN プロンプトが表示されるようにします。それを行う合理的な方法はありますか？

追加情報: これは CAC カード用で、ワークステーションには ActivIdentity と Tumbleweed が搭載されています。また、必要に応じてワークステーションにサービスを追加することもできます。ブラウザはすべてIE7です。Web サーバーは IIS 6 で、ページは (ほとんど) ASP.NET で記述されています。

必要なだけ IE7 のインスタンスを開くことができ、毎回証明書の入力を求められます (ただし PIN はありません)。ただし、IE7 のいずれかのインスタンスを閉じると、次に開いたときに PIN プロンプトが表示されます。そのため、IE7 プログラムが閉じられたときに、スマート カードに現在の PIN を「期限切れ」にするように指示しているように思えます。私のプログラムでもそれができるようにしたいので、IE7がそれを引き起こすために何をしているのか（閉じたとき）を知りたいです。どうすればそれを見つけることができるかについてのアイデアはありますか?

ありがとう！

ユーザーの CAC カードの証明書を使用して、Web サービス クライアント (Axis2) から SSL 通信を有効にしようとしています。魅力のように機能します....WebサーバーがCACを有効にするまで。その時点で、SSL 接続は拒否され、チェーン内の他の証明書が含まれていないというエラー メッセージが表示されます。

プロバイダーを security.properties ファイルに追加するか、プログラムで作成することにより、プロバイダーが使用可能であることを確認しました。

私の現在のアプローチは、単にシステム プロパティを設定することです: System.setProperty("javax.net.ssl.keyStore", "NONE"); System.setProperty("javax.net.ssl.keyStoreType", "PKCS11");

この質問/回答から、このアプローチは「エンドエンティティ」証明書のみを送信することを理解しています。どうやら、独自の X509KeyManager を実装する必要があるようです。これは私にとって新しい分野です。誰かが良い参考文献を提案したり、その方法のサンプルを提供したりできますか?

支援に感謝します。

Web サイトからデータを取得するための Python アプリケーションを作成しています。アプリケーションは、リクエストを行うために CAC カードと PIN で認証 (HTTPS/SSL) する必要があります。

CAC カードから秘密鍵を取得できないため、 PyKCSのような PKCS #11 ラッパーを使用しているという私の仮定は正しいですか?

これを行うためのヒントやリソースはありますか?