Transportebene für abgehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty-Server so konfigurieren, dass er die Clientzertifikatsauthentifizierung für abgehende CSIv2-Anforderungen durchführt.

Informationen zu diesem Vorgang

Die Clientzertifikatsauthentifizierung der Transportebene für abgehenden CSIv2-Anforderungen für einen Liberty-Server ist standardmäßig inaktiviert. Sie können das Element transportLayer so konfigurieren, dass es die zu verwendende SSL-Konfiguration angibt.

Sie können das SSL-Element so konfigurieren, dass es die Clientzertifikatsauthentifizierung unterstützt oder voraussetzt. Das Zertifikat, das an den Downstream-Server gesendet wird, wird anhand der Benutzerregistry des Downstream-Servers authentifiziert und seine Identität wird nur verwendet, wenn keine andere Form der Authentifizierung in der CSIv2-Anforderung, z. B. eine Identitätszusicherung auf der Attributebene oder ein Authentifizierungstoken auf der Authentifizierungsebene, gesendet wird.

Wenn Sie die Clientzertifikatsauthentifizierung verwenden, stellen Sie sicher, dass SSL von diesem Server unterstützt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Konfigurieren Sie die SSL-Unterstützung wie auf der Webseite SSL-Kommunikation für Liberty aktivieren beschrieben.
  3. Optional: Konfigurieren Sie das SSL-Element so, dass clientAuthentication oder clientAuthenticationSupported verwendet wird. Beispiel:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    oder
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. [17.0.0.3 und höher]Optional: Wenn Sie die SSL-Konfiguration der Transportebene für abgehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das transportLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>

    Optionen für abgehende Transporte können auch in der SSL-Konfiguration festgelegt werden. CSIv2 verwndet die SSL-Standardkonfiguration für abgehende Transporte, wenn sslRef auf der Transportebene nicht definiert ist. Weitere Informationen zu den SSL-Standardeinstellungen für abgehende Transporte finden Sie unter Attributebene für abgehende CSIv2-Anforderungen konfigurieren.

    SSL-Filter für abgehende Anforderungen können auch in der SSL-Konfiguration festgelegt werden. Die SSL-Filter für abgehende Anforderungen verwenden den Host und/oder den Port der abgehenden Verbindung, um die zu verwendende SSL-Konfiguration zu bestimmen. Weitere Informationen zu SSL-Filtern für abgehende Anforderungen finden Sie unter Filter für abgehende Verbindungen für SSL-Konfigurationen.

  5. Stellen Sie sicher, dass der Downstream-Server alle Clientzertifikate, die von diesem Server gesendet werden, anerkennt.
  6. Vergewissern Sie sich, dass die für die Clientauthentifizierung verwendeten Clientzertifikate einer Benutzeridentität in der Benutzerregistry des Downstream-Servers zugeordnet sind.
    • Bei der Basisregistry ist die Benutzeridentität der allgemeine Name (CN, Common Name) aus dem definierten Namen (DN, Distinguished Name) des Zertifikats.
    • Bei der LDAP-Registry (Lightweight Directory Access Protocol) muss der DN aus dem Clientzertifikat in der LDAP-Registry enthalten sein.
    Anmerkungen:
    • Wenn das Attribut clientAuthentication im <ssl>-Element auf true gesetzt ist, sendet der Client ein Clientzertifikat nur an Server, die die Clientzertifikatsauthentifizierung entweder voraussetzen oder unterstützen.
    • Wenn das Attribut clientAuthenticationSupported im <ssl>-Element auf true gesetzt ist, kann der Client entscheiden, ob ein Clientzertifikat gesendet werden soll, das auf der vom Downstream-Server verwendeten Konfiguration des <ssl>-Elements basiert.
    • Wenn die Attribute clientAuthentication und clientAuthenticationSupported nicht im <ssl>-Element definiert sind, wird der als Client fungierende Server nicht mit der Clientzertifikatsauthentifizierung aktiviert.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet. Weitere Informationen zu den Elementen attributeLayer und authenticationLayer finden Sie in den Abschnitten Attributebene für abgehende CSIv2-Anforderungen konfigurieren und Authentifzierungsebene für abgehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Transportebene für abgehende CSIv2-Anforderungen ist jetzt für die Clientzertifikatsauthentifizierung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_sec_csiv2outtransport.html