Доступ к смарт-картам с веб-сайта

Question

В ряде стран внедрены электронные удостоверения личности, которые их граждане могут использовать для безопасного доступа к онлайн-средствам, таким как банковское дело.

Мне интересно узнать, как поддерживать эти карты, но отслеживание документации о том, как это сделать на веб-сайте IIS, является настоящей PITA: например, в MSDN основная часть документации по смарт-картам охватывает сквозной сценарий привязка смарт-карт к доменным именам в корпоративной среде.

Я просто пытаюсь аутентифицировать владельца - например, испанскую DNI-e карту и выполнить проверку карты OSCP через http://ocsp.dnie.es/

Теперь кажется, что вместо того, чтобы явно определять вставку смарт-карты, мне нужно создать страницу входа на сервер с принудительной аутентификацией клиента SSL - но как мне настроить один запрос, чтобы потребовать аутентификацию клиента ssl и выбрать правильный клиентский сертификат?

Answer 1

Действительно, настройте свой сервер так, чтобы он требовал проверки подлинности сертификата клиентаВы получите данные аутентификатора клиента в заголовках.

Вы можете принудительно принимать только определенные сертификаты, настроив общедоступный корневой сертификат этих клиентских сертификатов на сервере и удалив все другие, которые вас не интересуют.при запросе аутентификации, идущем с вашего сервера в браузер, перечислены только корневые сертификаты, которым доверяют в вашей серверной системе.Клиентский браузер будет предлагать только клиентские сертификаты, которые так или иначе связаны с этим корнем.

Answer 2

В среде Microsoft вы должны настроить свой IIS так, чтобы он требовал SSL на странице входа в систему. Кроме того, требуется проверка подлинности клиента SSL с использованием сертификата.