1. Accueil
  2. Question et réponse
  3. Procédure de configuration du protocole HTTPD Apache pour l'authentification par carte CAC

Procédure de configuration du protocole HTTPD Apache pour l'authentification par carte CAC

2017-10-15 9 views
0

Cette tâche consiste à faire en sorte que le site Web utilise l'authentification par carte CAC. J'ai installé un serveur AWS Linux avec le serveur Web Apache httpd. Est-ce que quelqu'un d'étape par étapes pour configurer Apache pour activer un navigateur Web des utilisateurs lire leur carte CAC et leur demander le numéro de broche.Procédure de configuration du protocole HTTPD Apache pour l'authentification par carte CAC

Source

2017-10-15 tigger

+1

Vous devez configurer une "authentification basée sur un certificat". Tous les besoins de l'utilisateur est le CERT DoD root et le logiciel est livré avec le lecteur CAC. – Gary

Répondre

0

L'authentification CAC haute n'est pas différente de toute autre authentification PKI (peut être appelée authentification mutuelle ou authentification client). Cela signifie que, outre le fait que le navigateur authentifie le certificat du serveur (vérifiez que le certificat du serveur est émis par une autorité de confiance), le serveur exigera également que le client soumette un certificat que le serveur vérifiera.

Voici ce dont vous aurez besoin: un certificat de serveur, la clé privée qui va avec ce certificat, et un fichier de confiance avec des certificats racine et ca intermédiaires. Jetez un oeil à cette documentation pour référence: https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html.

que vous voulez dans la configuration la plus simple qui ressemble un VirtualHost quelque chose comme ça (je ne l'ai pas testé cette configuration juste copié à partir du site mentionné ci-dessus il faudra peut-être peaufiné..):

<VirtualHost *:443> 
    ServerName www.example.com 
    SSLEngine on 
    # server certificate 
    SSLCertificateFile "/path/to/www.example.com.cert" 
    # private key 
    SSLCertificateKeyFile "/path/to/www.example.com.key" 
    SSLVerifyClient require 
    SSLVerifyDepth 1 
    # trust store 
    SSLCACertificateFile "conf/ssl.crt/ca.crt" 
</VirtualHost>

Comme je l'ai mentionné, c'est la configuration la plus basique. Cela peut suffire pour ce dont vous avez besoin, mais pour le rendre plus robuste, vous devez vérifier que les certificats ne sont pas révoqués. Les deux façons de le faire sont soit de télécharger des listes de révocation de certificats (ce n'est pas pratique pour le nombre de CA qui émettent des certificats CAC), ou d'utiliser des répondeurs OSCP. Personnellement, je n'ai pas fait de vérification de révocation avec HTTPD (seulement dans le monde Java et par programmation), mais il y a une section dans la documentation ci-dessus qui couvre OCSP. Encore une fois, vous pourriez ne pas en avoir besoin selon votre projet.

Source

2017-10-23 21:16:50 Sanjeev

 Questions connexes

  • Aucun problème connexe^_^