問題タブ [cac]

クライアント CAC で証明書を読み取る ASP.NET アプリケーションがあります。

私の環境：Visual Studio 2012 IIS Express

IIS Express では、クライアントとサーバー用に 2 つの別々のサイトを実行しています。認証はサーバー上で行われます。

私のサーバーとクライアントのプロジェクトには、VS で次のプロパティがあります。

• 匿名認証 = 有効
• SSL 有効 = True
• Windows 認証 = 無効
• マネージド パイプライン モード = 統合

両方のサイトの Web.config ファイルで、もう一方のサイトは次の方法で参照されます。 https://localhost:<port>

サーバーのコードには次の行があります。 string mycert = HttpContext.Request.ClientCertificate.Subject;
これは、CAC カードからクライアントの証明書を要求することを想定しています。クライアント証明書に関連すると思われるすべてのフィールドに値がない (空またはゼロ) ため、ここで問題が発生します。

Q_1: サーバーで認証できるように、クライアントの CAC 証明書を読み取るにはどうすればよいですか?
Q_2: web.config ファイルに変更が必要なものはありますか?
Q_2B: oneToOneMapping について見たことがありますが、それが問題なのでしょうか?
Q_3: 私はこれについて遠いですか? もしそうなら、アドバイスしてください。

ありがとう！

PHP Web サイトを CAC Common Access Card で登録およびログインする方法がわかりません。私は過去 1 年間サイトを開発しましたが、これが原因で販売できません。私は見当もつかない。HTTPS なし SSL なし PKI なし。

私たちの Web サイトに CAC を実装したいクライアントがいます。通常、ユーザーは、割り当てられた証明書に基づいて、既にアクセス権を持っています。

ボタンをクリックしてログインする際に、CAC PIN コードを入力して検証されることを望んでいます。

ActivClient を使用して CAC を管理していますが、ウェブサイトがカード リーダーと通信して、ユーザーに PIN コードを入力して検証させる方法がわかりません。

これは IIS の設定によって行われますか、それともミドルウェアと何らかの方法で通信するためにコードを更新する必要がありますか?

前もって感謝します

ログインとパスワードによる認証をユーザーに要求する Vaadin Web アプリケーションを作成しています。別の認証手段として CAC 認証を追加できるかどうかを知りたいです。

要約すると、私の目標は、ユーザーが既に CAC で認証されている場合は Web サイトへのアクセスを許可すること、またはユーザーが CAC 認証されていない場合は標準のログイン (名前/パスワード) を要求することです。

検索とグーグルでJava PKCS#11を見つけましたが、デスクトップ統合用のライブラリのようです。

また、私の状況に似ているthisおよびthisの投稿を見たことがありますが、実際にはそうではありません。最初のものは、Web サーバーを構成することによる Web アプリケーション全体の認証の要件について話します。2 つ目は、デスクトップ ソリューションとして Java PKCS#11 を提示します。

繰り返しますが、私が望むのは「並列」ログインです。ブラウザが CAC 証明書をサーバーに送信する場合、サーバーは標準ログインを必要としません。それ以外の場合ははい。出来ますか？また、CAC 証明書がサーバーに送信された場合、所有者の名前など、この CAC に関するデータを取得する方法はありますか?

私は現在、Share-point 2013 サイトのアクセス許可を管理するのに役立つ C# で開発されたアプリケーションを持っています。最近、ローカル インスタンスが失われ、CAC が適用された IIS の背後にある別のインスタンスに移動している可能性があることを知りました。テスト サイトの 1 つを証明書を要求するように変更し、証明書を IIS サーバーに送信する方法をいくつか試しましたが、それでも

「リモート サーバーからエラーが返されました: (403) Forbidden.

以下は、私が試したいくつかのことです。

pki.GetClientCertificateはメソッドであり、この場合は私の cac 証明書を選択した証明書を返すようにしました。SharePoint デザイナーが問題やプロンプトなしで接続するのは面白いです。この問題について何か助けていただければ幸いです。

私が試したことをいくつか追加するだけです

uliユーザー名は、ユーザー名に変換された証明書です。変換を行うクラスがあります。パスワードは、安全な文字列に変換された PIN です。資格情報をコンテキストに追加しても、同じメッセージが表示されます。

私は一歩を踏み外しているだけで、誰かが私を正しい方向に向けることができることを願っています. ユーザーは、PIN を使用して IIS を介して認証する CAC を持っています。入力したら、ユーザー名やパスワードを入力しなくても、Web サイトでユーザーを認証する必要があります。アクティブ ディレクトリ認証を使用できません。今回はフォーム認証を想定しています。

ログインしているユーザーが登録されており、その情報と許可されている役割がデータベースにあると仮定します (CAC のクライアント証明書の情報に基づいて検索できます)...どのようなプロセスが必要ですか?ウェブサイトでそのユーザーを認証するために実装/読み上げますか?

アドバイス/情報を事前にありがとうございます。

ブライアンW

ActivClient を使用し、IIS をセットアップして CAC 認証の証明書をネゴシエートします。現在、アプリケーションは次のことを行っています

1. 証明書を要求します
2. ユーザーが証明書を選択
3. ActivClient は PIN を要求し、それを検証します
4. ウェブサイトはユーザーを読み込み、ランディング ページに送信します

ここで、私はいくつかの問題を抱えています。すべてが正常に機能しているように見えますが、ランディング ページにリダイレクトすると、奇妙なエラーが発生し始めます。

キャンセルを数回押すと、この画像が表示されます

証明書を再度選択した後、ActivClient でピンを再入力するか、それを受け入れて先に進みます。

なぜこれが起こるのでしょうか？

ありがとう！

私の雇用主は、PKCS#11 DLL を使用して、「CAC NG」カードであると考えている古いスマートカードから CHUID レコードを読み取るように求めています。それらのカードの CHUID レコードに関するあらゆる種類の情報を見つけました...

• 登録済み識別子 (RID、A0 00 00 01 16);
• 「アプリ ID」と GSC-IS オブジェクト識別子 (両方とも 30 00)。
• 「アプリケーションカード URL」 (F3 10 A000000116 01 3000 3000 00 00 00000000);

...しかし、私は PKCS11 インターフェイスを介してそのいずれかを使用する方法を見つけていないか、少なくともカードを誘導してその情報をあきらめさせる方法を見つけていません。ラベルまたはある種の DER エンコードされた ASN.1 オブジェクト識別子のいずれかが必要なようです (私が見つけた文書には、GSC-IS オブジェクト識別子ではないと明示的に記載されています)。

また、使用できるラベルを見つけることを期待して、カード上のすべてのオブジェクトをリストしようとしましたが、PIN を入力する前に表示されるオブジェクトは 6 つだけです。「ID 証明書」、「署名証明書」、および「暗号化」がそれぞれ 2 つずつです。証明書"。PIN を入力した後に表示されるラベルのないオブジェクトが 2 つありますが、CHUID レコードは常に使用できるはずなので、それらは関連していないと思います。

PKCS11 ライブラリによると、このカードで使用できるデータ オブジェクトはまったくありません。

これも「CAC NG」カードなの？代わりに古い「CAC v1」であり、CHUID レコードがまったくない可能性はありますか?