问如何使用通用访问卡连接到HTTPS服务器

EN

首先，您需要安装PKCS #11支持。这是一些本机代码，可能是您的读卡器附带的，它提供了一个提供PKCS11接口的.dll (或.so)。系统上的其他软件，如Mozilla产品和Sun的PKCS #11提供程序，都使用该库。(Microsoft产品通常使用不同的接口“CAPI”。)

然后，按照PKCS #11 Reference Guide,中的说明设置SunPKCS11提供程序。我必须在我的设置中提供的唯一属性是安装的本机“库”的位置，以及该提供程序的"name“后缀。" name“属性被附加到"SunPKCS11-”之后，因此如果您指定"CAC“作为名称，则可以稍后使用Security.getProvider("SunPKCS11-CAC")查找Provider。

然后，您可以使用标准的JSSE系统属性javax.net.ssl.keyStore (值为"NONE")和javax.net.ssl.keyStoreType (值为"PKCS11")来允许JSSE访问CAC上的密钥材料。您不需要设置password属性，因为本机代码应该在需要时提示用户输入他们的PIN。

需要注意的是，只有用户的“最终实体”证书可从CAC获得。要构建信任链，大多数服务器都希望客户端发送任何中间证书。解决这个问题是可能的，但是很复杂，因为它涉及实现您自己的javax.net.ssl.X509KeyManager。如果您使用的服务器需要完整的链，请发布后续问题。