Transportebene für abgehende CSIv2-Anforderungen im Liberty-Anwendungsclient-Container konfigurieren

Sie können den Liberty-Anwendungsclient-Container so konfigurieren, dass die Clientzertifikatsauthentifizierung für abgehende CSIv2-Anforderungen durchgeführt wird.

Informationen zu diesem Vorgang

Die Clientzertifikatsauthentifizierung der Transportebene für abgehende CSIv2-Anforderungen für einen Liberty-Anwendungsclient-Container wird nicht standardmäßig verwendet. Sie können das Element transportLayer so konfigurieren, dass es die zu verwendende SSL-Konfiguration angibt.

Sie können das SSL-Element so konfigurieren, dass es die Clientzertifikatsauthentifizierung unterstützt oder voraussetzt. Das Zertifikat, das an den Server gesendet wird, wird anhand der Benutzerregistry des Servers authentifiziert und seine Identität wird nur verwendet, wenn keine andere Form der Authentifizierung in der CSIv2-Anforderung, z. B. eine Identitätszusicherung auf der Attributebene oder ein Authentifizierungstoken auf der Authentifizierungsebene, gesendet wird.

Vorgehensweise

  1. Konfigurieren Sie die SSL-Unterstützung wie unter SSL-Kommunikation für den Liberty-Anwendungs-Client-Container aktivieren beschrieben.
  2. Optional: Konfigurieren Sie das SSL-Element für die Verwendung von clientAuthentication oder clientAuthenticationSupported. Beispiel:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    oder
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  3. Konfigurieren Sie das <orb>-Element in der Datei client.xml wie folgt oder fügen Sie das transportLayer-Element einem vorhandenen Element hinzu, wobei die Werte im Beispiel durch Ihre eigenen Werte ersetzt werden müssen:
    <orb id="defaultOrb">
        <clientPolicy.clientContainerCsiv2>
            <layers>
                <transportLayer sslRef="defaultSSLConfig"/>
            </layers>
        </clientPolicy.clientContainerCsiv2>
    </orb>
    Ohne Angabe eines <orb>-Elements ist die folgende Konfiguration implizit.
    <orb id="defaultOrb">
        <clientPolicy.clientContainerCsiv2>
            <layers>
                <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
                <transportLayer/>
            </layers>
        </clientPolicy.clientContainerCsiv2>
    </orb>
  4. Stellen Sie sicher, dass der Server alle Clientzertifikate, die von diesem Server gesendet werden, anerkennt.
    • Wenn das Attribut clientAuthentication im SSL-Element auf true gesetzt ist, sendet der Client ein Clientzertifikat nur an Server, die die Clientzertifikatsauthentifizierung entweder voraussetzen oder unterstützen.
    • Wenn das Attribut clientAuthenticationSupported im SSL-Element auf true gesetzt ist, kann der Client entscheiden, ob ein Clientzertifikat gesendet werden soll, das auf der vom Server verwendeten Konfiguration des SSL-Elements basiert.
    • Wenn die Attribute clientAuthentication und clientAuthenticationSupported nicht im SSL-Element definiert sind, wird der als Client fungierende Server nicht mit der Clientzertifikatsauthentifizierung aktiviert.

Ergebnisse

Die Transportebene für abgehende CSIv2-Anforderungen ist jetzt für die Clientzertifikatsauthentifizierung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_sec_csiv2outtransport_client.html