Jakarta ee 如何从软件更改为令牌客户端身份验证？

您好，感谢您抽出时间查看我的帖子

我有一个客户端-服务器套件，服务器端有J2EE应用程序，客户端只有浏览器（IE或Firefox）。目前，我在客户端上使用x509（PKCS#12）软件证书进行双向身份验证

服务器证书将在月底到期，因此我请求了新证书，并收到了相当大的惊喜。新服务器证书链与我的客户端证书的任何部分都不匹配，并且不可互操作。在与本地注册机构（LRA）深入交谈后，我发现这些服务器和客户端所在的网络正在从软件证书迁移到硬件令牌（智能卡）

在过去的几天里，我一直在网络上搜寻，试图弄清楚我需要做什么才能从PKCS（12个软件证书）更改为PKCS（11个令牌证书）。我发现了很多信息。。。其实信息太多了。这就是我的问题

我找到的几乎所有信息都是关于公共访问卡（CAC）的，我将使用的令牌非常相似。。。但我还没有找到任何信息告诉我如何让客户端web浏览器提示用户使用智能卡而不是软件证书。我使用的是WebLogic 12c服务器，服务器配置是相同的，不管我使用的是什么风格的证书

我开始怀疑是浏览器根据它以前“看到”过的证书来调用要提示的证书。我使用我的CAC登录多个站点，但从未被提示使用我的CAC登录我的开发服务器。浏览器仅显示与服务器证书链兼容的证书

从软件证书切换到智能卡进行客户端身份验证是否可能与获取由与智能卡相同的证书颁发机构签名的服务器证书一样简单

这不是我可以尝试的东西。。。为了获得与我的CAC相同的CA签署的服务器证书，我必须经历一个复杂的过程，我必须证明这一点。这是可以做到的，只是不容易，我希望在我走这条路之前能得到更多的信息

提前感谢您提供的任何信息

v/r

---

Ace

我决定继续前进，攀登繁文缛节之山，请求并接收测试服务器证书、令牌、读卡器、令牌读卡器中间件等

回答我自己的问题：是的，将服务器的证书更改为包含由同一证书颁发机构链签名的证书的证书会导致浏览器提示您输入令牌

注意：您还需要安装和配置令牌读取器所需的任何中间件。。。但你可能已经知道了

-王牌