我已经找到了在Apache中使用基于DOD CAC卡的客户端证书身份验证的所有必要步骤,但现在我正在努力从我收到的证书中为用户提供良好的GUID。证书上是否有可用的GUID,在更新CAC卡时不会更改?我正在考虑使用SSL_CLIENT_S_DN,它看起来像:
/C=US/O=U.S。政府/ OU =国防部/ OU = PKI / OU =承包商/ CN = LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789
但是我听说CAC卡更新时最后的号码会改变。这是真的?是否有更好的信息用于GUID?我也想获取用户的电子邮件地址,但我在证书中收到的信息中看不到它。电子邮件地址是否在我看不到的某些自定义扩展程序中可用?
谢谢!
答案 0 :(得分:6)
我们遇到了大量的实例,最终这个数字发生了变化。我们最终被打成使用一个流程,如果用户获得新的CAC,我们要求用户将该新卡与其用户帐户重新关联。现在这是大多数国防部系统的过程,例如DKO(国防知识在线)等。如果我们的数据库中没有提供的CAC证书数据,则用户必须使用用户名和密码登录系统。如果凭据正确,则该CAC的标识信息与系统中用户的帐户相关联。
至少我们是这样做的。
而且,就访问电子邮件地址而言,@ harningt是正确的。这取决于提供给您的证书。
答案 1 :(得分:4)
我相信你们现在已经找到了答案。但对于后来这篇文章的其他人来说,只有几个笔记:
这是DISA参考站点: http://iase.disa.mil/pki-pke/
PKI是基础架构,PKE正在为您的计算机/服务器/应用程序启用PKI身份验证
这是PKE管理员入门指南:
http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx
答案 2 :(得分:3)
DOD EDI PIN码不应更改。
我可以给你很多实例,你可以去DOD411网站(需要CAC)查找某人,它会显示来自承办商的证书,然后再显示同一个人,现在作为DOD民用(我们看到很多新雇员)。
我只是抬头看了我们的一名新员工,他们曾经多次加入空军,然后是海军的承包商,然后是陆军的承包商,现在我们作为DA平民工作。
相同的DOD EDI PIN。
CN(通用名称)可以更改(例如结婚),但十位数的DOD EDI不应更改。
对于要进行身份验证的证书,大多数站点都针对电子邮件证书进行身份验证,但有些站点确实使用了身份证书。
麦克
答案 3 :(得分:2)
首先,许多支持PKI的DOD站点应支持通过参与DOD的ECA计划(Verisign,IdenTrust,ORC)的商业CA颁发的硬件令牌。这些ECA颁发的证书甚至不包括这个“号码”,即DOD EDI PN。
据我了解,应该做一些努力来保持特定人的数量稳定。例如,即使我辞去国防部的平民工作并去为承包商工作,结婚并改变我的名字,辞掉工作并加入海岸警卫队,我的DOD EDI PN应该是一样的。然而,在实践中,我怀疑它是那样的。
即使它确实如此,我可能也不应该对应用程序具有相同的访问权限。每次我的工作变更时,我的CAC证书都应该被撤销。如果应用程序仅查看证书的公用名称或主题备用名称,则它将错过组织中可能影响该主题授权的更改。
基于特定证书(发行者和序列号)进行身份验证对用户来说是一种痛苦,但从安全性和健壮性的角度来看确实有意义。
答案 4 :(得分:1)
我听说过使用最后一个数字作为个人唯一标识符的论点,因为其他信息(名称,组织等)是可以随着时间而实际变化的信息位而不是数字。但是,我还没有看到官方文件或任何其他权威信息实际上将此视为事实。
只是好奇,是否有一个文档说明启用Apache和DOD CAC的分步过程?这首先实际上把我带到了这个问题:)
答案 5 :(得分:1)
电子邮件地址位于“使用者备用名称”字段集中。这取决于CAC证书,但用于SSL登录的应该包含它(它也是电子邮件签名证书)。
对象很可能不会经常改变给定的人。这个号码确实是识别一个人的唯一号码。此数字也将出现在Windows登录主题备用名称的UPN字段中(格式为NUMBER @ MIL)
答案 6 :(得分:0)
您可以从PIV中检索所有者SSN。那不会改变