5.3. 配置应用程序以使用智能卡上的证书进行身份验证

通过在应用程序中使用智能卡进行身份验证可能会提高安全性并简化自动化。您可以使用以下方法将公钥加密标准(PKCS) #11 URI 集成到应用程序中：

Firefox web 浏览器会自动加载 p11-kit-proxy PKCS #11 模块。这意味着系统中的每个支持的智能卡都会被自动检测到。对于使用 TLS 客户端身份验证，不需要额外的设置，当服务器请求它们时，会自动使用智能卡中的密钥和证书。
如果您的应用程序使用 GnuTLS 或 NSS 库，则它已支持 PKCS #11 URI。另外，依赖 OpenSSL 库的应用程序可以通过 openssl-pkcs11 软件包提供的 pkcs11 引擎访问加密硬件模块，包括智能卡。
需要使用智能卡上的私钥，且不使用 NSS、GnuTLS 或 OpenSSL 的应用程序可以直接使用 p11-kit API 来使用加密硬件模块，包括智能卡，而不是使用特定 PKCS #11 模块的 PKCS #11 API。
使用 wget 网络下载工具，您可以指定 PKCS #11 URI ，而不是本地存储的私钥和证书的路径。这可能会简化为需要安全存储私钥和证书的任务创建脚本。例如：
```
$ wget --private-key 'pkcs11:token=softhsm;id=%01;type=private?pin-value=111111' --certificate 'pkcs11:token=softhsm;id=%01;type=cert' https://example.com/
```
在使用 curl 工具时，您也可以指定 PKCS #11 URI：
```
$ curl --key 'pkcs11:token=softhsm;id=%01;type=private?pin-value=111111' --cert 'pkcs11:token=softhsm;id=%01;type=cert' https://example.com/
```
注意
由于 PIN 是一种安全措施，它控制对保存在智能卡中的密钥的访问，而配置文件中包含纯文本形式的 PIN，因此请考虑采取额外的保护来防止攻击者读取 PIN。例如，您可以使用 pin-source 属性并提供 file:从文件中读取 PIN 的 URI。请参阅 RFC 7512:PKCS #11 URI Scheme Query Attribute Semantics 了解更多信息。请注意，不支持将命令路径用作 pin-source 属性的值。

其他资源

curl (1), wget (1), 和 p11-kit (8) 手册页

Select Your Language

5.3. 配置应用程序以使用智能卡上的证书进行身份验证

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

5.3. 配置应用程序以使用智能卡上的证书进行身份验证

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links