由于斯堪的纳维亚国家的法律要求,我们正在为网站创建三因素身份验证。客户使用NetID品牌的浏览器插件在浏览器中执行PKCS#11证书身份验证。智能卡由客户的合作伙伴集中供应。
该主题没有太多的在线资源或教程。有人会有任何指向示例实现或教程的指针如何在Web浏览器中进行PKCS11身份验证?
编辑:找到有关SSL客户端证书
http://www.impetus.us/~rjmooney/projects/misc/clientcertauth.html
不要用JavaScript做。 JavaScript cryptography has a number of problems,我认为很多浏览器都不会让你直接从JavaScript(从页面内部运行)访问PKCS#11。
许多浏览器支持PKCS#11进行HTTPS身份验证,即使用PKCS#11进行客户端证书身份验证,作为SSL / TLS连接的一部分(作为HTTPS的一部分)。
假设您已经有了一个PKCS#11库(比如在/usr/lib/opensc.so
中说OpenSC),您可以配置Firefox使用它:
/usr/lib/opensc.so
文件(或者您的情况下适当的PKCS#11模块)。然后,当您连接到请求客户端证书的网站时,浏览器应该允许您从支持PKCS#11的设备中选择证书。
PKCS#11配置机制因浏览器而异,但通常需要设置PKCS#11模块的路径。
据我所知,Internet Explorer不使用PKCS#11(至少在没有额外支持的情况下),但应该依赖于MS CryptoAPI和InfoCards。
在服务器端,您需要配置客户端证书身份验证的要求。 PKCS#11没有特定的东西。
编辑之后,您应该阅读有关证书颁发机构(CA)和公钥基础结构(PKI)的信息。您可以部署自己的内部PKI,但听起来您的要求是与现有的PKI集成。这主要是一个管理问题,因此请与那些提出此要求的人一起查看他们想要依赖的CA(可能是他们的)。
使用客户端证书身份验证时,客户端将显示其证书(其中包含用户的公钥和其他属性,包括标识符:主题可分辨名称),SSL / TLS握手将确保客户端具有此私钥公钥证书。然后,服务器根据它信任的CA验证此证书(这也是服务器端的SSL设置)。
一旦配置了您想要信任的CA,映射通常使用证书的主题DN完成,如果需要,则使用内部用户名。这没有硬性规则,因为它取决于您的内部用户命名方案。这就是说,使用完整的主题DN作为用户名通常是明智的。
目前你无法在浏览器进程中做PKCS#11。所有合适的本机技术要么死亡(NPAPI),要么不通过所有浏览器实现。您需要在浏览器之外执行此操作并创建一些互连通信。
现在你可以做到这一点。使用PKCS#11智能卡或令牌的Web身份验证可以使用Silverlight版本的NCryptoki实现。见http://www.ncryptoki.com
你有两次机会:
1)使用Silverlight版本的NCryptoki并开发自己的Silverlight用户控件,使用智能卡提供的PKCS#11功能实现您的身份验证协议
2)使用基于上述Silverlight版本的JQuery插件,并通过在JavaScript中调用PKCS#11函数在JavaScript中实现身份验证协议