Transportebene für eingehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty-Server so konfigurieren, dass er Unterstützung für die Clientzertifikatsauthentifizierung für eingehende CSIv2-Anforderungen anfordert.

Informationen zu diesem Vorgang

Die Transportebene für eingehende CSIv2-Anforderungen für einen Liberty-Server hat eine Clientzertifikatsauthentifizierung, die standardmäßig inaktiviert ist. Sie können das Element transportLayer so konfigurieren, dass es die zu verwendende SSL-Konfiguration angibt. Sie können das SSL-Element so konfigurieren, dass es die Clientzertifikatsauthentifizierung unterstützt oder voraussetzt. Das Zertifikat, das empfangen wird, wird anhand der Benutzerregistry des Servers authentifiziert und seine Identität wird nur verwendet, wenn keine andere Form der Authentifizierung in der CSIv2-Anforderung, z. B. eine Identitätszusicherung auf der Attributebene oder ein Authentifizierungstoken auf der Authentifizierungsebene, gesendet wurde.

Wenn Sie die Clientzertifikatsauthentifizierung verwenden, stellen Sie sicher, dass SSL vom Server unterstützt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Konfigurieren Sie die SSL-Unterstützung wie auf der Seite SSL-Kommunikation in Liberty aktivieren beschrieben.
  3. Konfigurieren Sie das SSL-Element so, dass clientAuthentication oder clientAuthenticationSupported verwendet wird. Beispiel:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    oder
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • Wenn Sie clientAuthentication="true" angeben, setzt der Server die Anforderung ab, dass ein Client ein Zertifikat senden soll. Falls der Client kein Zertifikat hat oder der Server das Zertifikat nicht anerkennt, ist der Handshake jedoch nicht erfolgreich.
    • Wenn Sie clientAuthenticationSupported="true" angeben, setzt der Server die Anforderung ab, dass ein Client ein Zertifikat senden soll. Falls der Client kein Zertifikat hat oder der Server das Zertifikat nicht anerkennt, kann der Handshake trotzdem erfolgreich sein.
    • Wenn Sie weder clientAuthentication noch clientAuthenticationSupported angeben, oder wenn Sie clientAuthentication="false" oder clientAuthenticationSupported="false" angeben, fordert der Server während des Handshakes kein Zertifikat vom Client an.
  4. Optional: Wenn Sie die Standardkonfiguration der Transportebene für eingehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das transportLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  5. Stellen Sie sicher, dass der Server die verwendeten Clientzertifikate anerkennt.
  6. Stellen Sie sicher, dass die für die Clientauthentifizierung verwendeten Clientzertifikate einer Benutzeridentität in Ihrer Registry zugeordnet sind.
    • Bei der Basisregistry ist die Benutzeridentität der allgemeine Name (CN, Common Name) aus dem definierten Namen (DN, Distinguished Name) des Zertifikats.
    • Bei der LDAP-Registry (Lightweight Directory Access Protocol) muss der DN aus dem Clientzertifikat in der LDAP-Registry enthalten sein.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet. Weitere Informationen zu den Elementen attributeLayer und authenticationLayer finden Sie in den Abschnitten Attributebene für eingehende CSIv2-Anforderungen konfigurieren und Authentifizierungsebene für eingehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Transportebene für eingehende CSIv2-Anforderungen ist jetzt für die Clientzertifikatsauthentifizierung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_sec_inboundtransport.html