配置 Apache 以接受来自 DOD CAC 的特定证书

Posted

技术标签:

【中文标题】配置 Apache 以接受来自 DOD CAC 的特定证书【英文标题】:Configuring Apache to Accept Specific Certificate from DOD CAC 【发布时间】:2019-05-12 19:33:31 【问题描述】:

我已将 Apache 设置为需要 DOD CAC 才能访问该站点。在大多数 DOD CAC 上,实际上有 3 或 4 个不同的证书(ID、EMAIL、AUTH 等)。我注意到对于某些网站,您需要选择正确的证书,否则它不会授予访问权限。我还被告知,到 2020 年,所有站点都需要 AUTH 证书。我想弄清楚的是如何只允许特定的证书类型 - 目前,选择卡上具有正确 PIN 的任何证书都将授予访问权限。

【问题讨论】:

【参考方案1】:

在 CAC 对话框上的各种证书之间切换,然后查看证书属性,在 auth 证书上有“增强的密钥用法”,其中包含“智能卡登录”。这不在身份证上。

这篇文章似乎用 Apache SSLRequire 指令解决了这个问题:

http://mail-archives.apache.org/mod_mbox/httpd-dev/200910.mbox/%3C20091015143102.GA4558@redhat.com%3E

我还没有让这个工作,但我认为在这个帮助下: https://httpd.apache.org/docs/trunk/mod/mod_ssl.html

我在路上。

【讨论】:

谢谢。不过,“智能卡登录”是签名证书的一部分,所以这不太行得通。它将消除仅使用 ID 或加密证书。

以上是关于配置 Apache 以接受来自 DOD CAC 的特定证书的主要内容,如果未能解决你的问题,请参考以下文章

DoD CAC PDF417 压缩

如何使用通用访问卡连接到 HTTPS 服务器

如何在 Node/Express 中使用 CAC 对用户进行身份验证

为 CAC 卡身份验证配置 Apache HTTPD 的步骤

如何防止 Apache Web 服务器接受来自未知主机的请求

在 ec2 上配置 cassandra 以接受来自主 OC 的远程连接