通过DOD PKI CAC进行Apache身份验证

Question

如何使用Google的Department实现Apache(在Linux内)身份验证
防御CAC卡？我听说可以做到，但没有遇到任何细节。
目前，我们使用Windows Active目录进行Apache身份验证，但仅使用
登录名/密码。很快的要求将是仅使用CAC卡。任何提示
将不胜感激。

Answer 1

为2种SSL(版本6.0.18)配置Apache Tomcat

在文本编辑器中打开server.xml；位于您的tomcat目录中的<TOMCAT_HOME>\conf\server.xml

查找此文本块并取消注释:

<Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

3. Modify this text block as follows:

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>

启动Tomcat并使用您喜欢的浏览器导航到https://localhost:8443/。

浏览器将提示您输入客户端证书(注意:如果未提示您输入证书，则可以尝试使用工具> Internet选项>证书>导入将其导入IE)。选择正确的客户端证书。

如果您看到一个网站，则说明Tomcat已安装并且正在正确运行。如果看到找不到页面或其他错误，则说明Tomcat安装或配置错误。

设置Tomcat以获得客户端SSL支持。您还必须为tomcat提供信任库的运行时位置和密码。您可以通过命令行或在自己的ide中运行tomcat来启用此功能:-Djavax.net.ssl.trustStore = C:{somedir}\localhost.jks -Djavax.net.ssl.trustStorePassword =密码

将公用/专用 key 证书安装到浏览器

必须将浏览器设置为既可以识别来自受信任的证书颁发机构的证书，又可以知道如何使用私钥来识别您。

Firefox说明:

在Firefox的菜单中，导航至“工具”>“选项”。

单击高级>加密选项卡>查看证书按钮

单击“授权”选项卡

单击导入按钮

找到并选择您希望浏览器识别为合法CA的CA证书，然后单击“打开”

单击使用此证书签名后要信任的所有用途。选项包括网站，电子邮件和软件开发人员。

单击确定

Firefox现在将信任使用您刚安装的证书签名的内容。

IE指令:

导航到工具> Internet选项

选择“内容”选项卡

单击标记为证书

的按钮

单击标签为受信任的根证书颁发机构的选项卡

单击导入

向导启动。单击下一步，然后选择您希望作为CA

信任的证书文件

选择证书存储。单击完成

您将看到一个弹出窗口，以确认安装。单击是

Internet Explorer现在将信任使用您刚安装的CA颁发的证书签名的内容。

使用PKI加密，您的浏览器需要知道如何使用私钥向服务器识别您的身份。 为此，您必须手动安装证书。在此示例中导入的证书的后缀是.p12
Firefox说明:

在Firefox的菜单中，导航至“工具”>“选项”。

单击高级>加密选项卡>查看证书按钮

单击标签为“您的证书”的选项卡

单击导入

导航至并选择您想要选择的用于标识自己的证书。单击打开

输入与此证书结合使用的密码，然后单击“确定”。

您的证书现已安装，可用于使用PKI加密向服务器标识您。如果您希望在不同的时间使用不同的身份来标识自己，则可以重复上述步骤以安装其他证书。
IE指令:

导航到工具> Internet选项

选择“内容”选项卡

单击标记为证书

的按钮

选择“个人”选项卡

单击导入

向导启动。单击下一步...，然后选择要用于标识自己的pki文件。单击下一步

键入证书的密码和所需的任何选项

选择存储证书的位置，然后单击“下一步”>“完成

”

现在，您的个人证书已安装，您可以使用它来使用PKI加密向网站标识自己。