如何为需要客户端身份验证的IIS站点制作模拟智能卡的证书
我有一个项目,这是一个网站认证与智能卡(DoD CAC)。我需要制作多个测试证书,站点可以使用这些证书来验证客户端的会话。似乎可以使用非基于智能卡的证书,用户可以选择该证书进行客户端身份验证。
我觉得这样说很舒服,因为当我在我的MacBook上点击我的开发站点时,它会向我显示两个苹果证书。这些都不会起作用,因为我们的身份验证过程需要在通用名称的末尾添加一个短的数字序列。
我已经尝试了这么多不同的东西,我只是不能创建一个证书,在访问网站时与我的DoD证书一起提供。在证书管理器中,Mac证书、DoC In和我的测试证书在预期用途字段中显示“客户端身份验证”。我还在受信任的根目录中使用自签名证书作为我的测试证书的CA。
DoD证书的“预期用途”字段中有“智能卡登录”和“客户端身份验证”。在使用makecert.exe时,我只能指定一个eku,所以我可以使用“客户端身份验证”或“智能卡登录”值制作证书,但不能同时使用这两个值。我只需要将证书设置为"Client Authentication“,这似乎是合乎逻辑的。
接下来,我将尝试使用certreq,阅读一些暗示我可以使用它来设置多个值的内容。
我如何制作我自己的客户认证证书,网站会让我选择?
回答 1
Stack Overflow用户
发布于 2017-04-16 15:58:26
我在这里维护了一个批处理文件:http://unmitigatedrisk.com/?p=28,它为测试目的创建了一个简单的PKI。
我为windows机器制作了它,但你应该能够修改它以在mac上工作,只需做一些小改动(基本上从command.com切换到sh )。
它使用OpenSSL来完成此操作,在它创建的证书集中有一个客户端身份验证证书。
要将证书导入mac,您需要将证书和密钥转换为PKCS#12文件。
您可以通过查看openssl.cnf文件轻松地更新脚本创建的证书配置文件。
希望这能有所帮助。
https://stackoverflow.com/questions/43412855
复制相似问题
腾讯云开发者
