問題タブ [cac]

Ubuntu で SCR3310 カード リーダーを使用しています。スマート カード リーダーに必要なドライバーをインストールしましたが、正常に動作します。カード/カードリーダーが正常に動作するかどうかを確認するために、pscs_tools をインストールしました。

ルート CA 証明書とその他の中間証明書で構成されるパブリック DoD 証明書 (.cac) をオンラインでダウンロードしました。

X.509 証明書を読んでいますが、上記のセットアップから X.509 証明書を取得する方法がわかりません。また、PKI (Java) を使用して個人を認証し、上記のセットアップを使用して CAC カードから一意の識別子/セキュリティ トークンを取得する方法も知りたいです。

ありがとう、ロン

私は過去数日間、これについていくつかの調査を行ってきましたが、まだ解決策を見つけていません. これを処理するために外部アプリケーションを呼び出す php Exec() 関数を含む提案を見てきました。PHP ベースのサイト用のこのようなチュートリアルを探していました - http://securitythroughabsurdity.com/2007/04/implementing-smart-card-authentication.html。これに関するアドバイスやガイダンスをいただければ幸いです。

ありがとう、ジェリー

編集 - この投稿をチェックしていましたスマートカード認証を必要とするphpアプリケーションを作成する方法ですが、それは私の目標には関係ありません。SSLVerifyClient は、スマート カードで使用する必要がありますか?

クライアントマシンでDOD発行のCAC、ActivClient、およびIEを使用して、JBoss4.2.3にデプロイされたWebアプリケーションでクライアント証明書認証を有効にしようとしています。概念実証として、ソフト証明書（自己署名証明書を生成し、PKCS12形式に変換し、IEにインポート）を使用して、JMXコンソールでクライアント証明書認証を機能させることができました。また、サンプル（デモ）CACを使用して、おそらくデモユーザーに対してオンラインでTriCareを認証することもできます。

ただし、証明書をCACからエクスポートし、CNエントリをエイリアスとして使用してJKSトラストストアにインポートしようとしましたが（必要かどうかはわかりません）、まったく機能しません。JBossログに「NullCertificateinChain」というエラーが表示され、クライアントで証明書の選択またはPINの入力を求めるプロンプトが表示されません。私の最善の理論は、トラストストアに証明書がないため、クライアントにどの証明書を要求するかはわかりませんが、この疑いを確認する方法や、何が間違っているのかはわかりません。

JBossをApacheでフロント化すると、このプロセスが簡単になりますか？（これは内部アプリであるため、JBossをWebサーバーにしました。）

古いバージョンのJBossにアップグレードすると役立ちますか？

何が起こっているのかをより明確に把握できるデバッグステートメントをどこかで有効にできますか？

ステップバイステップのドキュメントはどこかにありますか？これに関する専門知識を得るにはどうすればよいですか？私は、JBoss 4オンラインドキュメント、「JBoss in Action」、「Core Security Patterns」、およびこの問題に触れるいくつかのQ＆Aに基づいてソリューションをまとめています。

どんな助けでも大歓迎です！

CAC カード (PKI) に対して ActivClient BSI を使用しようとしています。

コンテナーの AID を取得するにはどうすればよいですか?

今のところ、ActivClient UI で見た AID を使用しています。これらの値は一定ですか?

はいの場合、これらすべての定数のリストはどこにありますか?

いいえの場合、これらの値をプログラムで取得するにはどうすればよいですか?

ありがとう、

マタン

LibCurl を使用する C アプリケーションがあります (LibCurl は Web サーバーへの HTTP 接続を確立する C API です)。LibCurl を使用して、クライアント証明書を必要とする HTTPS サーバーからファイルをダウンロードする必要があります。

これまでのところ、当社の技術ソリューションはうまく機能しています。

私の問題は、使用する必要があるクライアント証明書が DoD CAC カードに存在することです。クライアント証明書を DOD CAC カードから (C アプリ内から) 取り出して、ファイルに書き込むか、CAC 上のファイルを参照するだけでよい必要があります。この書き込まれたファイルまたは参照されたファイルは、HTTPS 接続でクライアント証明書として指定されます。

DoD CAC カードからクライアント証明書を検索または参照する方法がわかりません。どんな助けでも大歓迎です。ありがとう。

軍の Common Access Card/Personal Identify Verification システムを使用して、新しい Drupal を利用したサイトにログインできるようにする必要があります。

このモジュールに出くわしました: http://drupal.org/sandbox/larquin/1292622しかし、コードはありません。

Drupal 用のモジュールはありますか? そうでない場合、モジュールのベースとなる PHP (またはその他の言語) のサンプル コードを知っている人はいますか?

または、専用モジュールを必要としないこの認証アプローチをサポートする別のアプローチはありますか? (例: ActiveDirectory? Apache の設定? など)

既存のSpringSecurity実装でPKI認証をどこでどのように実装できるかを理解しようとしています。

tomcatのserver.xmlの構成を変更して、「通常の」ユーザー名とパスワードの認証、次に「PKI」認証を処理する2つのコネクターを使用しました。違いは、PKIコネクタでclientAuthが有効になっており、マシン上で発行されたトラストストアを指していることです。

これにより、ユーザーは認証方法を選択できます。通常のユーザー名/パスワード認証をクリックして一方のコネクタに移動するか、PKI認証をクリックしてもう一方のコネクタを使用できます。私のTomcatの構成では、ユーザーに証明書を使用し、X509Certificate証明書チェーンでHttpServletRequestを受信するPINを入力するように正しく求められます。

これで設定が完了したので、どちらの形式の認証も許可するようにSpringSecurityを構成するにはどうすればよいですか。ユーザー名/パスワードの代わりに証明書のEDIを使用する方法を理解しようとしていますが、有効期限の確認、カードが取り消されているかどうかの確認などのセキュリティチェックを引き続き行っています。

どんなアイデアやリンクも大歓迎です、ありがとう！

現在、ac＃.netアプリケーションを使用しており、ユーザーがデジタル証明書を選択してPINを入力できるようにすることで、スマートカード認証が正しく機能しています。ただし、ユーザーが自分の証明書を選択し、証明書の1つを自動的に選択できるようにすることはやめたいと思います（すべてのユーザーが同じ証明書を持っています）。これにより、ユーザーがサイトに入ろうとしたときに、ピンプロンプトが表示されるようになります。これを行う方法について何かアイデアはありますか？私が一緒に仕事をしているすべてのユーザーはInternetExplorer7を使用しており、ActivIdentityとTumbleweedを備えたワークステーションを持っています。