基于DOD PKI CAC的Apache认证

Question

如何使用国防部CAC卡实现Apache (Linux内)身份验证？我听说这是可以做的，但没有发现任何细节。目前，我们使用Windows活动目录进行Apache身份验证，但只使用登录/密码。很快要求只使用CAC卡。如有任何提示，将不胜感激。

Answer 1

为双向SSL配置Apache (版本6.0.18)

文本编辑器中的<TOMCAT_HOME>\conf\server.xml

• Look

1. Open server.xml；位于此文本块的tomcat目录下，并取消注释：

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>

1. 启动Tomcat并使用首选浏览器导航到https://localhost:8443/。
2. 浏览器将提示您输入客户端证书(备注:如果没有提示您的证书，您可以尝试使用工具> internet选项>证书>导入在IE中导入它)。选择正确的客户端证书。
3. 如果您看到一个网站，Tomcat已经安装并运行正常。如果您看到页面未找到或其他错误，则安装或配置incorrectly.
4. Setup Tomcat以支持客户端SSL。您还必须为tomcat提供信任存储的运行时位置和密码。您可以通过命令行或在ide：-Djavax.net.ssl.trustStore=C:{somedir}\localhost.jks -Djavax.net.ssl.trustStorePassword=password

中运行tomcat来启用它。

将公钥/私钥证书安装到浏览器

必须设置

1. (您的浏览器)以同时识别您的证书来自受信任的证书颁发机构，并知道如何使用私钥识别您。

Firefox说明：

在Firefox的菜单中，导航到“高级”>“加密”选项卡上的“工具”>“Options

• Click”>“查看证书”按钮

• ，单击“权限”选项卡

• ，单击“导入证书”并选择您希望浏览器识别为“合法CA”的CA证书，然后单击“打开证书”(Open

• )，单击与此证书签署时希望信任的所有用途。选项是网站、电子邮件和软件developers.

• Click Ok

。

Firefox现在将信任使用您刚刚安装的证书签名的内容。

IE指令：

导航到Tools > Internet Options

• Choose，内容选项卡

• ，单击标记为Certificates

• Click的按钮，标签为可信根认证Authorities

• Click导入

• 的选项卡启动向导。单击“下一步”，然后选择希望信任为CA

• 的证书文件，选择证书存储区。单击finish

• ，您将看到一个弹出以确认安装。单击Yes

Internet现在将信任使用您刚刚安装的CA发出的证书签名的内容。

使用PKI加密，您的浏览器需要知道如何使用私钥将您识别到服务器。要做到这一点，必须手动安装证书。在本例中导入的证书的后缀是.p12火狐说明：

在火狐的菜单中，导航到Tools > Options Certificates"

• Click Import

• Navigate

• ，单击高级>加密选项卡>查看证书按钮

• ，单击标签为"Your

• to并选择要选择的证书以标识自己“的选项卡。单击“打开

• ”，输入与此证书一起使用的密码，然后单击“确定”

您的证书现在已经安装，可以使用PKI加密将您标识到服务器。如果您希望在不同的时间使用不同的身份标识，则可以重复上述步骤来安装其他证书。IE指令：

导航到Tools > Internet，Options

• Choose，Content选项卡，

，

• ，单击标记为Certificates

• Select的按钮，个人选项卡，

，

• ，单击ImportImport

，向导启动。单击Next.，然后选择希望用于标识您自己的pki文件。单击Next

• ，键入证书密码和任何选项

• ，然后单击Next> Finish

您的个人证书现在已安装，您可以使用它来标识您自己的网站使用PKI加密。