PHP CAC通用访问卡注册和登录

Question

我不知道如何让我的PHP网站注册并使用CAC通用访问卡登录。我在过去的一年里开发了一个网站，因此不能出售它。我没有线索。没有HTTPS没有SSL没有PKI。

Answer 1

1. 设置服务器端SSL。
2. 生成用于测试的私有CA [如果您没有CAC]，请向自己颁发身份证明。
3. 在应用程序中将私有CA安装为客户端AuthN的受信任根。
4. 在SSL会话期间需要客户端身份验证;提供私有CA和DoD根CA作为CA的可信列表。
5. 验证其有效后，从应用程序信任中删除私有CA.

注意：

• 您必须解析用户提供的用户ID证书。这可以来自＆＃34; DOD EMAIL CA-XX＆＃34; [两位数;目前在userPrincipalName字段中最多为32]，或者您可以使用EDIPI，该EDIPI可以从DOD CA-XX证书或DOD EMAIL CA-XX证书中收集。如果做得好，这两个ID都将随着时间的推移而不变，并且尽管可能有任何名称更改，但仍能可靠地识别用户。
• 任何有价值的买家都会要求您通过CRL或OCSP检查撤销。请确保配置此项，可能会缓存本地系统上每个CA的CRL，以便快速访问和配置刷新时间。
• 假设您在Apache中执行此操作，大部分工作都记录在SO和其他站点的其他线程中。环视四周;你应该找到你所需要的90％以上。