DOD CAC kart sertifikalarını kabul etmek için Tomcat'i yapılandırma

Question

Windows kutusunda bağımsız bir tomcat 6 sunucusunda bir uygulama çalıştırıyorum. DoD CAC kartlarından müşteri sertifikası talep edip alabilmesini istiyorum.

Bir CAC kartından certs'leri geçmek için doğru şekilde ayarlanmış IE çalıştıran bir istemci makinem var, bunun doğru olduğunu biliyorum çünkü CAC etkin bir siteye gittiğimde IE bir belgeyi seçmemi isteyen bir pencere açıyor ve Bu pencerede CAC kartımdan alınan sertifikaları görüyorum.

Kullanıcıdan sertifika istemek üzere yapılandırılmış tomcat'ım var ve siteme gidip tomcat üzerinde çalışıyorum. Aynı IE istemcisini de sertifikamı seçmemi istediğimi görüyorum, ancak sitemde certs listesine baktığımda boş. Ben gelene kadar vidalama düşünüyorum

<Connector port="8443" 
      protocol="HTTP/1.1" 
      SSLEnabled="true" 
      maxThreads="150" 
      scheme="https" 
      secure="true" 
      keystoreFile="<myKeysotre>" 
      keystorePass="<myPassword>" 
      clientAuth="want" 
      sslProtocol="TLS" /> 

yer anahtar deposu dosyasının nesil içinde: aşağıdaki gibi benim server.xml dosyasında benim konektörü yapılandırılmış ettik. Şimdi gelişimini yapıyorum

keytool -genkey -Alias ​​-keypass mypassword -keystore myKeystore -storepass mypassword

ve aradığım: Şu anda java kullanarak oluşturduktan böyle bir şey komuta keytool İstemcinin CAC kartından uygulamamın bir yolu benim için bir yol ama bir şeyleri kaçırdım. Bunun nasıl çalıştığına pek aşina değilim, bu yüzden bazı yardım/rehberlik kullanabiliyorum.

Teşekkür

Answer 1

burada çekerek biraz saç ne buldum sonra. IE sertifikamı seçmemi sormamın sebebi boştu, çünkü istemci sertifikaları (CAC kartındaki certs) tomcat sunucumdaki güvenilen kökteki herhangi bir CA tarafından verilmemişti.

Yapmam gereken şey, kök CA sertifikalarını tomcat truststore'uma eklemekti. Sertifikaları nasıl alacağımı öğrenmek biraz zamanımı aldı. Yaptığım şey, http://dodpki.c3pki.chamb.disa.mil/rootca.html web sitesine gitmek ve kök sertifikalarını (.cac dosyaları olarak gelir) indirmek ve daha sonra bu dosyayı IE'ye (Araçlar -> Inernet Seçenekleri -> İçerik -> Sertifikalar) ithal etmekti. Sonra tekrar) IE sertifika aracından ben X509 dosyaları olarak kök certs ihraç ve bunları içeren bir güven deposu oluşturuldu: saklayan ben server.xml dosyasında Bağlayıcı eleman güncellemek yaratıldı kez

keytool -storepass somePassword -import -alias DoDClass3RootCA -keystore my.truststore -trustcacerts -file exports\DoDClass3RootCA.cer 

<Connector port="8443" 
      protocol="HTTP/1.1" 
      SSLEnabled="true" 
      maxThreads="150" 
      scheme="https" 
      secure="true" 
      truststoreFile="my.truststore" 
      truststorePass="somePassword" 
      … /> 

tomcat yapıyor ve yeniden başlattıktan sonra CAC Kart sertifikaları bana artık sertifikalar ile ne yapıyorsunuz