我需要编写一个 java 程序来连接到 HTTPS 服务器(DoD 网站)。该网站需要 CAC(DoD 通用访问卡)身份验证。如果您通过浏览器访问此站点,请先插入您的 CAC,然后输入 PIN。
我需要在 java 中以编程方式完成身份验证过程(有点像浏览器)。如何从 CAC 检索信息?我一直在谷歌搜索并阅读 Java PKCS#11 参考指南。似乎 Sun PKCS#11 Provider 可以做到,但您需要本机 PKCS#11 令牌实现。
我说的对吗?以前有人做过吗?任何建议或意见将不胜感激。
【问题讨论】:
首先,您需要安装 PKCS #11 支持。这是您的读卡器可能附带的一些本机代码,它提供了一个提供 PKCS #11 接口的 .dll(或 .so)。系统上的其他软件,如 Mozilla 产品和 Sun 的 PKCS #11 提供程序,使用这个库。 (Microsoft 产品通常使用不同的接口,“CAPI”。)
然后,按照PKCS #11 Reference Guide, 中的说明设置SunPKCS11 提供程序。我必须在我的设置中提供的唯一属性是已安装的本机“库”的位置,以及此提供程序的“名称”后缀。 “name”属性附加到“SunPKCS11-”,因此如果您为名称指定“CAC”,您可以稍后使用Security.getProvider("SunPKCS11-CAC") 查找Provider。
然后,您可以使用标准 JSSE 系统属性javax.net.ssl.keyStore(值为"NONE")和javax.net.ssl.keyStoreType(值为"PKCS11")让JSSE 访问CAC 上的密钥材料.您不需要设置密码属性,因为本机代码会在需要时提示用户输入 PIN。
需要注意的是,只有用户的“最终实体”证书可从 CAC 获得。为了构建可信链,大多数服务器都希望客户端发送任何中间证书。解决这个问题是可能的,但很复杂,因为它涉及实现您自己的javax.net.ssl.X509KeyManager。如果您正在使用的服务器需要完整的链,请发布后续问题。
【讨论】: