配置Apache HTTPD以进行CAC卡身份验证的步骤

时间:2017-10-15 21:37:20

标签: apache pki cac

我被分配了使网站使用CAC卡身份验证的任务。我已经使用Apache httpd Web服务器设置了AWS Linux服务器。 是否有人按步骤设置Apache以启用用户Web浏览器读取其CAC卡并提示他们输入密码。

1 个答案:

答案 0 :(得分:1)

CAC身份验证与任何其他PKI身份验证(可以称为相互身份验证或客户端身份验证)没有区别。  这意味着除了浏览器验证服务器证书(检查服务器证书是否由受信任的颁发机构颁发)之外,服务器还将要求客户端提交服务器将验证的证书。

以下是您需要的:服务器证书,与该证书一起使用的私钥,以及具有根证书和中间证书的信任存储。请查看此文档以供参考:https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

在最简单的设置中,您需要一个看起来像这样的VirtualHost(我没有测试过这个配置。只是从上面提到的网站复制它。可能需要调整):

question.results.forEach { print($0.category, $0.question) }

正如我所提到的,这是最基本的设置。这可能足以满足您的需求,但为了使其更加健壮,您需要验证证书是否未被撤销。执行此操作的两种方法是下载证书吊销列表(这对于颁发CAC证书的CA的数量不实用),或使用OSCP响应者。我个人还没有使用HTTPD进行撤销检查(仅限Java世界和编程方式),但上述文档中有一节涵盖OCSP。同样,根据您的项目,您可能不需要它。