CAC卡和web服务器

Question

我有一个客户想要实施CAC与我们的网站。通常，用户已经可以根据分配给他们的证书进行访问。

当他们点击一个按钮登录时，他们希望通过输入他们的CAC密码来验证。

我使用ActivClient来管理CAC，但我不知道如何让网站与读卡器通信，让用户输入密码并验证它。

这是通过IIS设置完成的，还是必须更新代码才能与中间件通信？

提前感谢

Answer 1

我们使用的解决方案涉及IIS的一些配置更改以及使用CAC提供的信息的一些代码更改。

在IIS (8.0)中，我们只是将身份验证设置为匿名身份验证。在SSL设置中，我们检查了Require，并在“客户端证书”下选择了“要求”选项。

身份验证后，根据需要从证书访问哪些信息，可以使用以下方法访问该信息：

X509Certificate2 certificate = new X509Certificate2(Request.ClientCertificate.Certificate);

这将给出包含CAC所携带的信息的证书对象。可以通过以下方法访问其中一些属性

certificate.GetNameInfo(X509NameType.SimpleName);  //X509NameType.EmailName, etc

Answer 2

我最近和DoD一起处理了这个问题。不涉及代码，只需将IIS站点设置为使用集成安全性(或基于AD配置的证书身份验证)并关闭其他身份验证机制。然后浏览器将使用Active Directory中配置的方法提示用户提供凭据，如果用户正确使用AD，该方法将显示CAC证书选择和PIN窗口。请注意，您还必须使用HTTPS，否则出于安全原因，浏览器将不会将CAC凭据传递给服务器。