配置Apache以接受来自DOD CAC的特定证书

Question

我将Apache设置为需要DOD CAC才能访问该网站。在大多数DOD CAC上，实际上有3到4个不同的证书(ID、电子邮件、身份验证等)。我注意到，对于一些网站，你需要选择正确的证书，否则它不会授予访问权限。我还被告知，到2020年，所有网站都将需要AUTH证书。我正在尝试解决的是如何只允许特定的证书类型-就像目前一样，选择卡上具有正确PIN的任何证书都将授予访问权限。

Answer 1

在CAC对话框上的各种证书之间切换，然后查看证书属性，在身份验证证书上有"Enhanced Key Usage“，其中包含"Smart Card Logon”。这不在身份证证书上。

这篇文章似乎用Apache的SSLRequire指令来解决这个问题：

http://mail-archives.apache.org/mod_mbox/httpd-dev/200910.mbox/%3C20091015143102.GA4558@redhat.com%3E

我还没有让它工作，但我认为在这个帮助下：https://httpd.apache.org/docs/trunk/mod/mod_ssl.html

我已经在路上了。