您好,感谢您花时间查看我的帖子。
我在服务器端有一个带有J2EE应用程序的客户端 - 服务器套件,而在客户端只有一个浏览器(IE或Firefox)。目前,我在客户端上使用x509(PKCS#12)软件证书进行双向身份验证。
服务器证书将在月底到期,因此我申请了新证书并收到了相当大的惊喜。新的服务器证书链与我的客户端证书的任何部分都不匹配,并且不可互操作。在与本地注册机构(LRA)进行深入对话后,我发现这些服务器和客户端所在的网络正在从软件证书迁移到硬件令牌(智能卡)。
我花了几天时间在网上搜索,试图找出从PKCS#12软件证书到PKCS#11令牌证书需要做些什么。我发现了很多信息......实际上信息太多了。这就是我的问题。
我发现的几乎所有信息都涉及通用访问卡(CAC),我将使用的令牌非常相似......但我没有找到任何信息告诉我如何使客户端Web浏览器提示用户输入智能卡而不是软件证书。我正在使用WebLogic 12c服务器,服务器配置是相同的,无论我使用什么样的证书。
我开始怀疑它是根据之前“看到”的证书来调用哪些证书提示的浏览器。我使用我的CAC登录到多个站点,但从未提示我使用我的CAC登录我的开发服务器。浏览器只显示与服务器证书链兼容的证书。
是否有可能从软件证书切换到智能卡进行客户端身份验证就像获取由与智能卡相同的证书颁发机构签名的服务器证书一样简单?
这不是我可以尝试的事情......为了获得与我的CAC相同的CA签署的服务器证书,我必须经历的过程很复杂,我必须证明这一点它。它可以完成,只是不容易,我希望在我走这条路之前获得更多信息。
提前感谢您提供的任何信息。
V / R 王牌
答案 0 :(得分:0)
我决定继续攀登繁文缛节,并要求并获得测试服务器证书,令牌,读卡器,令牌读卡器中间件等......
回答我自己的问题:是的,使用包含由同一证书颁发机构链签名的证书的证书更换服务器证书的行为会导致浏览器提示您输入令牌。
注意:您还需要安装和配置令牌读取器所需的任何中间件......但您可能已经知道了。 :)
-Ace