配置出埠 CSIv2 傳輸層

您可以配置 Liberty 伺服器,以便對出埠 CSIv2 要求執行用戶端憑證鑑別。

關於這項作業

依預設,會停用 Liberty 伺服器之出埠 CSIv2 傳輸層的用戶端憑證鑑別。您可以配置 transportLayer,來指定要使用的 SSL 配置。

您可以將 SSL 元素配置成支援或需要用戶端憑證鑑別。會鑑別傳送至下游伺服器的憑證是否符合下游伺服器的使用者登錄,且只有在 CSIv2 要求中未傳送其他任何形式的鑑別時(例如,屬性層中的身分主張,或鑑別層中的鑑別記號),才會使用其身分。

使用用戶端憑證鑑別時,請確定此伺服器支援 SSL。

程序

  1. server.xml 檔中新增 appSecurity-2.0ejbRemote-3.2 特性。
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    下列範例是不需指定在 server.xml 檔中的預設配置。

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. 依照啟用 Liberty 的 SSL 通訊中的說明,來配置 SSL 支援。
  3. 選用:配置 SSL 元素,以使用 clientAuthenticationclientAuthenticationSupported 例如,
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. [17.0.0.3 以及更新版本]選用:如果您需要變更出埠傳輸層配置所使用的 SSL 配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 transportLayer 元素新增至現有的元素。以您的值取代範例中的範例值。
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>

    也可以從 SSL 配置來配置出埠選項。如果未在傳輸層上設定 sslRef,CSIv2 會使用 SSL 配置出埠預設值。如需 SSL 出埠預設值的相關資訊,請參閱配置出埠 CSIv2 屬性層

    也可以在 SSL 配置上設定出埠 SSL 過濾器。出埠 SSL 過濾器使用出埠連線的主機及/或埠,來決定要使用的 SSL 配置。如需出埠 SSL 過濾器的相關資訊,請參閱SSL 配置的出埠過濾器

  5. 確定下游伺服器信任此伺服器所傳送的任何用戶端憑證。
  6. 確定用於用戶端鑑別的所有用戶端憑證,已對映至下游伺服器使用者登錄中的使用者身分。
    • 如果是基本登錄,使用者身分是憑證識別名稱 (DN) 中的通用名稱 (CN)。
    • 如果是「輕量型目錄存取通訊協定 (LDAP)」登錄,用戶端憑證中的 DN 必須在 LDAP 登錄中。
    附註:
    • <ssl> 元素中的 clientAuthentication 屬性設為 true 時,用戶端只會將用戶端憑證傳送至需要或支援用戶端憑證鑑別的伺服器。
    • <ssl> 元素中的 clientAuthenticationSupported 屬性設為 true 時,用戶端可選擇是否根據下游伺服器使用的 <ssl> 元素配置,來傳送用戶端憑證。
    • <ssl> 元素中沒有設定 clientAuthenticationclientAuthenticationSupported 屬性時,擔任用戶端的伺服器不會啟用用戶端憑證鑑別。
    如果省略某層,會使用該層的預設值。如需 attributeLayerauthenticationLayer 元素的相關資訊,請參閱配置出埠 CSIv2 屬性層配置出埠 CSIv2 鑑別層

結果

現在您已配置出埠 CSIv2 傳輸層,以鑑別用戶端憑證。

指示主題類型的圖示 作業主題

檔名:twlp_sec_csiv2outtransport.html