問題タブ [cac]

PDF ファイルの電子署名を実装する必要がある Java EE アプリがあります。ユーザーは、データベース内のデータに基づいて PDF ファイルを生成するリンクをクリックし、ブラウザーで PDF を表示できる必要があります。次に、使用者は、スマート カード (使用している PC のスマート カード リーダーに接続されている) に保存されている秘密鍵を使用して、ドキュメントに「署名」できる必要があります。ユーザーは Windows 7 と JRE 1.6 を使用しています

私は PDF の生成に iText を使用することを望んでいましたが、クライアント側でスマート カードから情報を取得し、その情報を適用して PDF に署名し、PDF をそのまま表示するためにどのソリューションを使用するかは不明です。署名済み (ユーザーの署名を表示するか、ドキュメントを更新して署名済みであることを示します)。

誰かがこれを以前に行ったことがあり、解決策がありますか?

Web サーバー (Apache) に強力な認証を実装しましたが、うまく機能します。しかし、cac ID と suject 名を Java .properties ファイルまたは XML に存在するものと比較する必要がある Java クラスを実装したいと考えています。

私は Java 5 - 6 、Spring 3.1、および WebLogic 11g を使用しています。

私が働いている場所 (政府) では、PC にアクセスするために CAC カードを挿入する必要があります。

Server Side Java を使用して Common Access Card (CAC) カードから情報を読み取る方法を学びたいと思います。おそらく認証とデジタル署名用です。

Google で見つけたものはほとんどなく、どこから始めればよいかまったくわかりません。

CAC が生成し、ブラウザ経由で送信する証明書を読み取ることは問題ですか?

もしそうなら、それでそれを始める方法もまったくわかりません。誰かがチュートリアルといくつかのコード サンプルを教えてくれますか?

Wininetライブラリを使用して、クライアント証明書（スマートカードに保存されている）とのSSL接続を確立しています。

問題は、送信されたHttpRequestごとにスマートカードにアクセスしていることです。

Fidlerとwiresharkから、次のことがわかります。1.すべてのリクエストはHTTP1.1ではなくHTTP1.0です。2.接続ごとに完全なSSLハンドシェイクが実行されます。3。要求ごとにPINコードを入力するように求められるのではなく（最初の要求のみ）、送信する要求ごとにスマートカードにアクセスします。

アイデア/リードはありますか？実際には、問題はWindowsに関するものではない可能性がありますが、証明書ストアで実行する追加の手順が必要ですか？

ありがとう、ザハール

相互SSL認証のSSLターミネーターとしてApacheサーバーを使用しています。

すべての中間証明書 (クライアント証明書チェーン) に basicConstraints 拡張子があるかどうかを検証するために、Apache サーバーに構成を追加することは可能ですか?

Apache で Oracle Web サーバー プラグインを使用すると、このような構成が見られました。

EnforceBasicConstraints - このパラメーターは、無効な V3 CA 証明書を含む証明書チェーンが適切に拒否されない SSL 証明書の検証に存在するセキュリティ ホールを閉じます。これにより、有効な CA 証明書をルートとする、無効な中間 CA 証明書を含む証明書チェーンが信頼されるようになりました。X509 V3 CA 証明書には、CA としてマークされ、重要な拡張としてマークされた BasicConstraints 拡張を含める必要があります。このチェックにより、中間 CA 証明書になりすました非 CA 証明書から保護されます。

問題は、そのプラグインなしでそのような機能を持つことは可能ですか?

ありがとう

Common Access Card (CAC) にある証明書を使用して .NET アセンブリに署名したいと考えています。私が見つけたほとんどの手順では、証明書 (.cer) ファイルから個人情報交換 (.pfx) ファイルを作成する必要があります。しかし、pfx ファイルを作成する過程で、私が持っていない秘密鍵を求められます。CAC を使用してネットワーク リソースにログインして認証できる PIN しか持っていませんが、pfx 証明書を使用して署名することはできません。

厳密な名前のキー ファイルを作成し、厳密な名前のキー ファイルを使用してアセンブリに署名しました。私が今コーディングしているものについては、CAC で証明書を使用する必要があります。

CAC の証明書を使用して、構築中のアセンブリに署名できるようにするプロセスを探しています。

CAC のこれらの ActivIdentity の概念を正しく理解していることを確認してください。

Per Session: ユーザーが IE を実行し、CAC 認証を必要とする SSL Web ページにアクセスします。ユーザーが別のタブ (別のプロセス) を開いて同じ Web サイトにアクセスしようとすると、ユーザーは既に認証されています。その結果、彼は再認証する必要がなくなります。

Per Process: ユーザーは、成功した CAC PIN 認証を介して最初の Web ページを開きます (上記と同じ)。ここで、SSL Web サイトにアクセスするために新しいタブを開くと、新しいプロセスにアクセスしているため、再認証する必要があります。

毎日、CAC を使用した認証が必要な Web サイトに接続する必要があります。このウェブサイトに接続して、通知があるかどうかを確認します。

このルーチンを自動化したいと思います。を使用する予定HttpClientですが、サーバーが必要とする実際のチェックを実行する方法がわかりません。リモート サーバーは SSL を使用しておらず、SEAM フレームワークを使用しています。

これを行う方法に関するヒントはありますか？Javaコードは必要ありません。この開発を開始する方法についてのアイデアだけです。カードと証明書をロードする方法はすでに知っていますが、この情報で認証を渡す方法はわかりません。

stackoverflow には他にも Java と CAC の投稿がいくつかあることがわかりました。私はこれらすべての初心者であり、何をすべきか、どこに行くべきかを頭の中で考えようとしています。

私は、Windows 7 ボックスで CAC を使用して、PC にアクセスしたいユーザーを認証する大規模な組織で仕事をしています。CAC をキーボードに貼り付けて、PIN を入力します。

私の上司は、コンピュータに CAC がある場合にユーザーが認証されないように Java Webap を変更したいと考えています。そうでない場合は、従来の LDAP ログインを使用します。

WebLogic 11g と Java 6 を使用しています。

周りのグーグルから、2つのアプローチがあるようです：

1. ユーザーの CAC を読み取り、SSL 証明書を webapp に送信するアプレットを実装します。

2. Web サーバーに「相互 SSL 認証」を実装します。これにより、ブラウザーは CAC 上の SSL 証明書を webapp に送信します。

自分のオプションを正しく評価していますか?

どちらのソリューションが簡単ですか?

長期的に見て、手間がかからず、より堅牢になるのはどれですか?

SSL についてはほとんど何も知りませんが、これは両方のソリューションで共通しているようです。抽象的な概念について詳しく説明している SSL チュートリアルをいくつか見つけました。私がやりたいことについて、誰かが良いチュートリアルを推薦できますか?

情報やヒントを事前にありがとう

スティーブ