Апачская аутентификация через DOD PKI CAC

Question

Как реализовать проверку подлинности Apache (в Linux), используя отдел Защитные карты CAC? Я слышал, что это можно сделать, но не сталкивался с какими-либо подробностями. В настоящее время мы используем Windows Active Directory для проверки подлинности Apache, но только с использованием Логины / пароли. Вскоре будет требование использовать только карты CAC. Любые намеки будет оценена.

Answer 1

Настройка Apache Tomcat для двухстороннего SSL (версия 6.0.18)

1. Открыть server.xml в текстовом редакторе; находится в каталоге tomcat по адресу <TOMCAT_HOME>\conf\server.xml
2. Найдите этот текстовый блок и раскомментируйте его:

<Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

3. Измените этот текстовый блок следующим образом:

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 maxThreads="150" scheme="https" secure="true"
                 clientAuth="true" sslProtocol="TLS"
                 keystoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 keystorePass="password"
                 truststoreFile="<CERTIFICATES_DIR>\localhost.jks"
                 trustStorePass="password"/>

4. Запустите Tomcat и перейдите к https://localhost:8443/, используя предпочитаемый браузер.
5. Браузер запросит у вас ваш клиентский сертификат (Примечания: если у вас нет запроса на сертификат, вы можете попробовать импортировать его в IE, используя инструменты> Свойства обозревателя> Сертификаты> Импорт). Выберите правильный сертификат клиента.
6. Если вы видите веб-сайт, Tomcat установлен и работает правильно. Если вы видите страницу, не найденную или какую-то другую ошибку, Tomcat был установлен или настроен неправильно.
7. Настройка Tomcat для поддержки SSL на стороне клиента. Вы также должны предоставить tomcat местоположения хранилища доверенных сертификатов и пароль. Вы можете включить это либо через командную строку, либо запустив tomcat в своем ide: -Djavax.net.ssl.trustStore = C: {somedir} \ localhost.jks -Djavax.net.ssl.trustStorePassword = пароль

Установите сертификаты открытого / закрытого ключа в ваш браузер

1. Ваш браузер должен быть настроен так, чтобы он распознавал ваши сертификаты как поступающие из доверенного центра сертификации и знал, как идентифицировать вас с помощью личного ключа.

Firefox Инструкции:

1. В меню Firefox перейдите в Инструменты> Параметры
2. Нажмите кнопку «Дополнительно»> вкладка «Шифрование»> кнопку «Просмотр сертификатов»
3. Перейдите на вкладку Authorities
4. Нажмите кнопку «Импорт»
5. Найдите и выберите сертификаты CA, которые ваш браузер распознает как действительные CA, затем нажмите Open
6. Выберите все цели, которым вы хотите доверять при подписании этого сертификата. Варианты: веб-сайты, электронная почта и разработчики программного обеспечения.
7. Нажмите Ok

Firefox теперь будет доверять контенту, подписанному только что установленными сертификатами.

IE инструкции:

1. Перейдите в Инструменты> Свойства обозревателя
2. Выберите вкладку «Содержимое»
3. Нажмите кнопку с надписью Сертификаты
4. Перейдите на вкладку «Надежные корневые центры сертификации»
5. Нажмите Импорт
6. Волшебник запускается. Нажмите «Далее», затем выберите файл сертификата, которому хотите доверять, в качестве CA
7. Выберите хранилище сертификатов. Нажмите готово
8. Вы увидите всплывающее окно для подтверждения установки. Нажмите Да

Internet Explorer теперь будет доверять содержимому, подписанному сертификатами, выпущенными только что установленным ЦС.

При использовании шифрования PKI ваш браузер должен знать, как идентифицировать вас на сервере с помощью закрытого ключа. Для этого вам необходимо установить сертификаты вручную. Суффикс сертификатов, импортированных в этом примере: .p12 Инструкции Firefox:

1. В меню Firefox перейдите в Инструменты> Параметры
2. Нажмите кнопку «Дополнительно»> вкладка «Шифрование»> кнопку «Просмотр сертификатов»
3. Нажмите на вкладку с надписью «Ваши сертификаты»
4. Нажмите Импорт
5. Найдите и выберите сертификат, который вы хотите выбрать для идентификации себя. Нажмите Открыть
6. Введите пароль, который используется вместе с этим сертификатом, и нажмите Ok

Ваш сертификат теперь установлен и может использоваться для идентификации вас на серверах с использованием PKI-шифрования. Описанные выше шаги могут быть повторены для установки дополнительных сертификатов, если вы хотите идентифицировать себя, используя разные идентификационные данные в разное время. Инструкции IE:

1. Перейдите в Инструменты> Свойства обозревателя
2. Выберите вкладку «Содержимое»
3. Нажмите кнопку с надписью Сертификаты
4. Выберите вкладку Личные
5. Нажмите Импорт
6. Мастер запускается. Нажмите Далее ..., затем выберите файл pki, который вы хотите использовать для идентификации себя. Нажмите Далее
7. Введите пароль для сертификата и любые необходимые параметры
8. Выберите, где хранить сертификат, а затем нажмите Далее> Готово

Ваш персональный сертификат теперь установлен, и вы можете использовать его для идентификации себя на веб-сайтах с использованием шифрования PKI.