ssl — PHP CAC Common Access Card Регистрация и вход

1. Настройте серверный SSL.
2. Создайте частный CA для тестирования [если у вас нет CAC], выдайте удостоверение личности для себя.
3. Установите частный ЦС в качестве доверенного корня для клиента AuthN в приложении.
4. Требовать аутентификацию клиента во время SSL-разговора; предоставить частные CA и DoD Root CA в качестве списка доверенных CA.
5. Удалите частный ЦС из доверия приложения после проверки его работоспособности.

Заметки:

• Вам придется проанализировать предоставленные пользователем сертификаты для вашего идентификатора пользователя. Это может происходить из сертификатов, подписанных «DOD EMAIL CA-XX» [двузначный номер; в настоящее время до 32] в поле userPrincipalName, или вы можете использовать EDIPI, который можно получить либо из сертификатов DOD CA-XX, либо из сертификатов DOD EMAIL CA-XX. Если все сделано правильно, оба этих идентификатора будут неизменными с течением времени и будут надежно идентифицировать пользователя, несмотря на любые изменения имени, которые они могут иметь.
• Любой покупатель, достойный его соли, потребует, чтобы вы проверяли отзыв через CRL или OCSP. Убедитесь, что вы настроили это, возможно, кэширование CRL от каждого из CA в вашей локальной системе для быстрого доступа и настраиваемого времени обновления.
• Предполагая, что вы делаете это в Apache, большая часть этой работы описана в других темах здесь, на SO и других сайтах. Смотреть по сторонам; Вы должны найти 90% + того, что вам нужно.