智能卡启用托管在IIS 6上的PHP站点？

Question

在过去的几天里，我一直在做一些研究，还没有找到解决方案。我见过一些建议，其中包括调用外部应用程序来处理此问题的php Exec()函数。我一直在寻找一个像这样的基于PHP的网站- http://securitythroughabsurdity.com/2007/04/implementing-smart-card-authentication.html的教程。任何关于这方面的建议或指导都将不胜感激。

谢谢，杰瑞

编辑-我在How to make php application to require smart card authentication上查看了这篇文章，但它与我的目标无关。SSLVerifyClient require能否与智能卡一起使用？

Answer 1

我们在爱沙尼亚经常使用智能卡解决方案，因为在许多地方都有国家身份证支持。我觉得你看起来有点困惑--你不需要exec()。您需要的是配置您的web服务器(在本例中为IIS)，以请求客户端获取证书。这与PHP无关。这可以基于路径、子域或类似的方式来完成，这可以是可选的，也可以是必需的。例如，我们经常将子域a la http://id.foobar配置为只能通过ID访问。芯片卡只是证书和密钥的载体。通常情况下，这是“基于客户端的证书”和谷歌为它。可以配置强制或可选客户端证书要求。强制更安全，因为没有身份证的人没有机会看到你的服务器上的任何东西。但这也有缺点--他们也看不到来自你的任何错误消息。我们经常使用可选要求。在PHP端，你只需要接收一些环境变量。你需要检查他的内容。你可以通过谷歌搜索SSL_CLIENT_S_DN找到你想要的东西。这是使用Apache web服务器时获得的变量的名称。关于IIS我一无所知，但基本原理是相同的，只是变量和配置选项的名称不同。