网站PKSC #11智能卡认证和SSL客户端证书

不要使用JavaScript进行加密。 JavaScript加密存在许多问题，而且我认为许多浏览器不会轻易地让你直接从JavaScript（在页面内运行）访问PKCS#11。
许多浏览器支持PKCS#11用于HTTPS身份验证，即在SSL/TLS连接（作为HTTPS的一部分）中使用PKCS#11进行客户端证书身份验证。
假设您已经有一个可用的PKCS#11库（比如OpenSC在/usr/lib/opensc.so），您可以配置Firefox来使用它：

• 首选项->高级->加密，进入“安全设备”
• 点击“加载”
• 选择模块名称（作为列表中的参考）并指向/usr/lib/opensc.so文件（或者根据您的情况是适当的PKCS#11模块）。

然后，当您连接到请求客户端证书的网站时，浏览器应该向您提供从启用PKCS#11的设备中选择证书的选项。
PKCS＃11配置机制因浏览器而异，但通常只需设置PKCS#11模块的路径即可。
据我所知，Internet Explorer没有使用PKCS#11（至少不需要额外支持），而应依赖于MS CryptoAPI和InfoCards。
在服务器端，您需要配置客户端证书身份验证的要求。这与PKCS#11无关。

---

根据您的编辑，您应该了解证书颁发机构（CA）和公钥基础设施（PKI）。您可以部署自己的内部PKI，但听起来您的要求是与现有的PKI集成。这主要是一个管理问题，因此请与制定此要求的人员核实他们希望依赖哪个CA（可能是他们自己的）。

在使用客户端证书认证时，客户端会展示其证书（其中包含用户的公钥和其他属性，包括标识符：主体可分辨名称），SSL/TLS握手将确保客户端拥有此公钥证书的私钥。然后，服务器会根据其信任的CA验证该证书（这也是服务器端SSL设置之一）。

一旦您配置了要信任的CA，通常会使用证书的主题DN将其映射到内部用户名称（如果需要）。对此并没有硬性规定，因为它取决于您的内部用户命名方案。话虽如此，通常最好将完整的主题DN用作用户名。

目前在浏览器进程内无法执行PKCS#11操作。所有可用的本机技术要么已经过时（NPAPI），要么未在所有浏览器中实现。您需要在浏览器外部执行此操作并创建一些互连通信。

现在你可以这样做。使用PKCS#11智能卡或令牌进行Web身份验证可以通过使用NCryptoki的Silverlight版本来实现。请参见http://www.ncryptoki.com 你有两个选择：
1）使用NCryptoki的Silverlight版本并开发自己的Silverlight用户控件，使用智能卡提供的PKCS#11函数实现您的身份验证协议。
2）使用基于上述Silverlight版本的JQuery插件，并通过调用JavaScript中的PKCS#11函数来实现身份验证协议。