我已经想出了在 Apache 中获得基于 DOD CAC 卡的客户端证书身份验证的所有必要步骤,但现在我正在努力从我收到的证书中为用户提取一个好的 GUID。证书上有没有在CAC卡更新时不会改变的GUID?我正在考虑使用 SSL_CLIENT_S_DN ,它看起来像:
/C=美国/O=美国政府/OU=DoD/OU=PKI/OU=CONTRACTOR/CN=LAST_NAME.FIRST_NAME.MIDDLE_NAME.0123456789
但是我听说CAC卡更新的时候,末尾的数字会变。这是真的?是否有更好的信息可用于 GUID?我还想获取用户的电子邮件地址,但在我从证书收到的信息中看不到它。电子邮件地址是否在我没有看到的某些自定义扩展程序中可用?
谢谢!
最佳答案
我们遇到过很多情况,最终这个数字会发生变化。我们最终被打败使用一个流程,如果用户获得新的 CAC,我们要求用户将新卡与他们的用户帐户重新关联。这是现在大多数 DoD 系统上的过程,例如 DKO(在线防御知识)和其他系统。如果我们的数据库中没有提供的 CAC 证书数据,则用户必须使用用户名和密码登录系统。如果凭据正确,则该 CAC 的标识信息与系统中的用户帐户相关联。
至少我们是这样做的。
而且,就访问电子邮件地址而言,@harningt 是正确的。这取决于提供给您的证书。
关于pki - DOD 通用访问卡 (CAC) 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/611057/