配置入埠 CSIv2 傳輸層
您可以配置 Liberty 伺服器,以聲明支援入埠 CSIv2 要求的用戶端憑證鑑別。
關於這項作業
依預設,Liberty 伺服器的入埠 CSIv2 傳輸層會停用用戶端憑證鑑別。您可以配置 transportLayer,來指定要使用的 SSL 配置。您可以將 SSL 元素配置成支援或需要用戶端憑證鑑別。會鑑別所收到的憑證是否符合伺服器的使用者登錄,且只有在 CSIv2 要求中未傳送其他任何形式的鑑別時(例如,屬性層中的身分主張,或鑑別層中的鑑別記號),才會使用其身分。
使用用戶端憑證鑑別時,請確定伺服器支援 SSL。
程序
- 在 server.xml 檔中新增 appSecurity-2.0 和 ejbRemote-3.2 特性。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
下列範例是不需指定在 server.xml 檔中的預設配置。<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 依照在 Liberty 中啟用 SSL 通訊頁面的說明,來配置 SSL 支援。
- 配置 SSL 元素,以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
或<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 如果您指定 clientAuthentication="true",伺服器會要求用戶端傳送憑證。不過,如果用戶端沒有憑證,或伺服器不信任其憑證,信號交換就不會成功。
- 如果您指定 clientAuthenticationSupported="true",伺服器會要求用戶端傳送憑證。不過,如果用戶端沒有憑證,或伺服器不信任其憑證,信號交換仍有可能成功。
- 如果您沒有指定 clientAuthentication 或 clientAuthenticationSupported,或者指定 clientAuthentication="false" 或 clientAuthenticationSupported="false",在信號交換期間,伺服器不會要求用戶端傳送憑證。
- 選用:如果您需要變更預設入埠傳輸層配置,請依如下所示,在 server.xml 檔中新增 <orb> 元素,或是將 transportLayer 元素新增至現有的元素。以您的值取代範例中的範例值。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <transportLayer sslRef="defaultSSLConfig"/> </layers> </serverPolicy.csiv2> </orb>
註: <orb> 元素中的 ID 值 defaultOrb 是預先定義的,不能修改。 - 確定伺服器信任所用的任何用戶端憑證。
- 確定用來鑑別用戶端的任何用戶端憑證,都會對映至您登錄中的使用者身分。
- 如果是基本登錄,使用者身分是憑證識別名稱 (DN) 中的通用名稱 (CN)。
- 如果是「輕量型目錄存取通訊協定 (LDAP)」登錄,用戶端憑證中的 DN 必須在 LDAP 登錄中。
結果
上層主題: 在 Liberty 中配置入埠 CSIv2

檔名:twlp_sec_inboundtransport.html