我已经找到了在Apache中使用基于DOD CAC卡的客户端证书身份验证的所有必要步骤,但现在我正在努力从我收到的证书中为用户提供良好的GUID.证书上是否有可用的GUID,在更新CAC卡时不会更改?我正在考虑使用SSL_CLIENT_S_DN,它看起来像:
/ C = US/O =美国政府/ OU = DoD/OU = PKI/OU =承包商/ CN = LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789
但是我听说CAC卡更新时最后的数字会发生变化.这是真的?是否有更好的信息用于GUID?我也想获取用户的电子邮件地址,但我在证书中收到的信息中看不到它.电子邮件地址是否在我看不到的某些自定义扩展程序中可用?
谢谢!
我们遇到了大量的实例,最终这个数字发生了变化.我们最终被打成使用一个流程,如果用户获得新的CAC,我们要求用户将该新卡与其用户帐户重新关联.现在这是大多数国防部系统的过程,例如DKO(国防知识在线)等.如果我们的数据库中没有提供的CAC证书数据,则用户必须使用用户名和密码登录系统.如果凭证正确,则该CAC的标识信息与系统中的用户帐户相关联.
至少我们是这样做的.
而且,就访问电子邮件地址而言,@ harningt是正确的.这取决于您提供的证书.
DOD EDI PIN不应更改。
我可以给您很多实例,您可以在其中找到DOD411站点(需要CAC)来查找某人,它会显示出他们是承包商时的证书,然后再次显示同一个人,现在是DOD平民(我们看到了很多新员工)。
我只是查找了我们的新员工之一,他们曾在空军中任职,然后是海军的承包商,然后是陆军的承包商,现在为我们担任DA平民。
相同的DOD EDI PIN。
CN(通用名称)可以更改(例如,由婚姻产生),但十位数的DOD EDI不应更改。
关于要认证的证书,大多数站点都根据电子邮件证书进行认证,但是有些站点确实使用身份证书。
麦克风
我敢肯定,到现在为止,所有人都已经弄清楚了答案。但是,对于其他后来发表此帖子的人,只需注意以下几点:
这是DISA参考网站:http : //iase.disa.mil/pki-pke/
PKI是基础架构,PKE通过PKI身份验证启用您的计算机/服务器/应用程序
这是PKE管理员入门指南:
http://iase.disa.mil/pki-pke/getting_started/Pages/administrators.aspx
京公网安备 11010802040832号 | 京ICP备19059560号-6 