通过DOD PKI CAC进行Apache身份验证

时间:2009-05-07 13:58:53

标签: apache pki cac

如何使用Department of Department实现Apache(在Linux中)身份验证 国防CAC卡?我听说它可以完成,但没有遇到任何细节。 目前我们使用Windows Active Directory进行Apache身份验证,但仅使用 登录/密码。很快,要求将只使用CAC卡。任何提示 将不胜感激。

1 个答案:

答案 0 :(得分:5)

为双向SSL(版本6.0.18)配置Apache Tomcat

  1. 在文本编辑器中打开server.xml;位于<TOMCAT_HOME>\conf\server.xml
    2. 的tomcat目录中
  2. 查找此文本块并取消注释:
    3. <Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
         

    3。修改此文本块,如下所示:

      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>
    1. 启动Tomcat并使用首选浏览器导航至https://localhost:8443/
    2. 浏览器会提示您输入客户端证书(注意:如果系统未提示您输入证书,可以尝试使用工具&gt;互联网选项&gt;证书&gt;导入)在IE中导入。选择正确的客户端证书。
    3. 如果您看到网站,则会安装Tomcat并且运行正常。如果您看到找不到页面或其他一些错误,则表明Tomcat安装或配置不正确。
    4. 设置Tomcat以获取客户端SSL支持。您还必须为tomcat提供信任库和密码的运行时位置。您可以通过命令行或在您的ide中运行tomcat来启用它:-Djavax.net.ssl.trustStore = C:{somedir} \ localhost.jks -Djavax.net.ssl.trustStorePassword = password

      5. 将公钥/私钥证书安装到浏览器

      1. 您的浏览器必须设置为将您的证书识别为来自受信任的证书颁发机构,并知道如何使用私钥识别您。

        2. Firefox说明:

        1. 在Firefox的菜单中,导航到工具&gt;选项
        2. 点击高级&gt;加密标签&gt;查看证书按钮
        3. 单击“权限”选项卡
        4. 点击导入按钮
        5. 找到并选择希望浏览器识别为合法CA的CA证书,然后单击“打开”
        6. 单击使用此证书签名时要信任的所有目的。选项包括网站,电子邮件和软件开发人员。
        7. 点击确定

          8. Firefox现在将信任使用您刚刚安装的证书签名的内容。

          IE说明:

          1. 导航至工具&gt;互联网选项
          2. 选择内容标签
          3. 单击标有证书
            4. 的按钮
          4. 单击标记为“受信任的根证书颁发机构”的选项卡
          5. 点击导入
          6. 向导启动。单击下一步,然后选择您希望作为CA信任的证书文件
          7. 选择证书库。点击完成
          8. 您将看到一个确认安装的弹出窗口。单击是

            9. Internet Explorer现在将信任使用您刚刚安装的CA颁发的证书签名的内容。

            使用PKI加密,您的浏览器需要知道如何使用私钥识别您的服务器。为此,您必须手动安装证书。此示例中导入的证书的后缀是.p12  Firefox说明:

            1. 在Firefox的菜单中,导航到工具&gt;选项
            2. 点击高级&gt;加密标签&gt;查看证书按钮
            3. 点击标有“您的证书”
              4. 的标签
            4. 点击导入
            5. 导航并选择您要选择的证书以表明您自己。单击“打开”
            6. 输入与此证书一起使用的密码,然后单击确定

              7. 您的证书现已安装,可用于使用PKI加密向您识别服务器。如果您希望在不同时间使用不同的身份标识自己,可以重复上述步骤以安装其他证书。  IE说明:

              1. 导航至工具&gt;互联网选项
              2. 选择内容标签
              3. 单击标有证书
                4. 的按钮
              4. 选择个人标签
              5. 点击导入
              6. 向导启动。单击下一步...,然后选择您要用于识别自己的pki文件。单击“下一步”
              7. 输入证书的密码和所需的任何选项
              8. 选择存储证书的位置,然后单击“下一步”&gt;完成

                9. 您的个人证书现已安装,您可以使用它来使用PKI加密向网站表明身份。

相关问题
最新问题