Activation de l'authentification par certificat client pour l'accès aux services Web
Vous pouvez configurer l'authentification par certificat client pour que vos applications client puissent accéder aux services Web.
Avant de commencer
Vous devez satisfaire les exigences suivantes pour pouvoir activer l'authentification par certificat client pour l'accès aux services Web :
- Générez une paire de clés publique et privée autosignées pour le fournisseur.
keytool -genkey -alias default -keystore serverKey.jks -dname "CN=myServer, O=IBM, C=CN" -storepass passw0rd -keypass passw0rd -storetype jks -validity 1000 -keyalg RSA
- Exportez le certificat par défaut et importez-le dans le fichier de clés sécurisées.
keytool -export -alias default -file myserver.cer -keystore serverKey.jks -storepass passw0rd -storetype jks keytool -import -file myserver.cer -alias default -keystore clientTrust.jks -storepass passw0rd -keypass passw0rd -storetype jks
- Générez deux paires de clés privée et publique autosignées pour le client.
keytool -genkey -alias user0 -keystore clientKey.jks -dname "CN=employee0, O=IBM, C=CN" -storepass passw0rd -keypass passw0rd -storetype jks -validity 1000 -keyalg RSA keytool -genkey -alias admin0 -keystore clientKey.jks -dname "CN=manager0, O=IBM, C=CN" -storepass passw0rd -keypass passw0rd -storetype jks -validity 1000 -keyalg RSA
- Exportez les certificats des deux alias et importez-les dans le fichier de clés certifiées.
keytool -export -alias user0 -file user0.cer -keystore clientKey.jks -storepass passw0rd -storetype jks keytool -export -alias admin0 -file admin0.cer -keystore clientKey.jks -storepass passw0rd -storetype jks keytool -import -file user0.cer -alias user0 -keystore serverTrust.jks -storepass passw0rd -keypass passw0rd -storetype jks keytool -import -file admin0.cer -alias admin0 -keystore serverTrust.jks -storepass passw0rd -keypass passw0rd -storetype jks
- Copiez les fichiers serverKey.jks, serverTrust.jks, clientKey.jks et clientTrust.jks dans le répertoire ${server.config.dir}/resources/security.
Remarque : L'utilitaire keytool se trouve dans le répertoire d'installation Java™.
Pourquoi et quand exécuter cette tâche
Si vous devez utiliser l'application client de service Web avec l'authentification par certificat client pour accéder aux ressources de service Web protégées, le client doit fournir le certificat valide dans la demande et utiliser le protocole HTTPS pour communiquer avec le fournisseur de services.