DoD PKI CAC-аутентификация в Tomcat (встроенная в JBoss)

Question

Мне нужно поддерживать аутентификацию на основе CAC, выданную DoD, в моем веб-приложении, развернутом в JBoss.Может ли кто-нибудь дать мне указание о том, с чего начать, какие шаги предпринять и т. Д.?

Кроме того, к какому провайдеру JCE следует обратиться (OpenSSO, BountyCastle и т. Д.)?Я пытался найти в списке (активных / текущих) провайдеров Google, но не смог его найти.Есть ли список поставщиков JCE, которые наиболее популярны (в силу их базовых алгоритмов безопасности? Спасибо.

Answer 1

Я не работал с картами CAC, но интеграция с PKI обычно выполняется промежуточным ПО PKCS # 11, установленным на клиентском ЦП. На сервере вам может потребоваться перехватить запрос на уровне модуля apache, чтобы включить PKI / SSO, вот слайд-шоу с дополнительной информацией о том, как они это сделали для forge.mil: http://www.slideshare.net/rbulling/enabling-web-apps-for-dod-security-via-pkicac-enablement-forgemil-case-study

Если вам нужно выполнить другие веб-взаимодействия с картой (не поддерживающие PKCS11, например, если вы хотите поговорить с одним из других приложений, установленных на карте, из своего веб-приложения или установить апплет на карту), вы ' Вам понадобится какой-нибудь плагин для браузера для отправки необработанных APDU или команд более высокого уровня через PCSC. Моя компания делает плагин для этой цели, он доступен на https://cardboss.cometway.com.

Наконец, мне нравится bouncycastle ... Я сомневаюсь, что вы найдете какие-либо списки поставщиков JCE, отсортированные по популярности.