Configuración de la capa de transporte CSIv2 de salida

Puede configurar un servidor Liberty para realizar la autenticación de certificados de cliente para las solicitudes CSIv2 de salida.

Acerca de esta tarea

La autenticación de certificados de cliente de la capa de transporte CSIv2 de salida para un servidor Liberty está inhabilitada de forma predeterminada. Puede configurar transportLayer para especificar la configuración SSL que desee utilizar.

Puede configurar el elemento SSL para dar soporte a la autenticación de certificados de cliente o requerirla. El certificado que se envía al servidor en sentido descendente se autentica con el registro de usuarios del servidor en sentido descendente, y su identidad sólo se utiliza si no se envía ninguna otra forma de autenticación en la solicitud CSIv2 como, por ejemplo, una aserción de identidad en la capa de atributos o una señal de autenticación en la capa de autenticación.

Cuando se utiliza la autenticación de certificados de cliente, asegúrese de que este servidor dé soporte a SSL.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Configure el soporte SSL como se describe en Habilitación de la comunicación SSL para Liberty.
  3. Opcional: configure el elemento SSL para que utilice clientAuthentication o clientAuthenticationSupported. Por ejemplo:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    o
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. [17.0.0.3 and later]Opcional: Si debe cambiar la configuración SSL que utiliza la configuración de la capa de transporte de salida, puede hacerlo añadiendo un elemento <orb> en el archivo server.xml como se indica a continuación o añada el elemento transportLayer a uno existente. Sustituya los valores de ejemplo por sus valores.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>

    Las opciones de salida también se pueden configurar desde la configuración SSL. CSIv2 utiliza el valor predeterminado de salida de la configuración SSL si sslRef no está establecido en la capa de transporte. Si desea más información sobre el valor predeterminado de salida SSL, consulte Configuración de capa de atributo CSIv2 de salida.

    Los filtros SSL de salida tambien se pueden establecer en la configuración SSL. Los filtros SSL de salida utilizan el host y/o puerto de la conexión de salida para determinar la configuración SSL que se va a utilizar. Si desea más información sobre filtros SSL de salida, consulte Filtros de salida para configuraciones SSL.

  5. Asegúrese de que el servidor en sentido descendente confíe en los certificados de cliente que se envían desde este servidor.
  6. Asegúrese de que los certificados de cliente utilizados para la autenticación de cliente se correlacionen con una identidad de usuario en el registro de usuarios del servidor en sentido descendente.
    • Para el registro básico, la identidad de usuario es el nombre común (CN) del nombre distinguido (DN) del certificado.
    • Para un registro LDAP (Lightweight Directory Access Protocol), el DN del certificado de cliente debe estar en el registro LDAP.
    Notas:
    • Cuando el atributo clientAuthentication se establece en true en el elemento <ssl>, el cliente envía un certificado de cliente sólo a los servidores que requieran la autenticación de certificados de cliente o que la admitan.
    • Cuando el atributo clientAuthenticationSupported se establece en true en el elemento <ssl>, el cliente puede decidir si envía un certificado de cliente basado en la configuración del elemento <ssl> que utiliza el servidor en sentido descendente.
    • Cuando los atributos clientAuthentication y clientAuthenticationSupported no se establecen en el elemento <ssl>, el servidor que actúa como cliente no se habilita con la autenticación de certificados de cliente.
    Al omitir una capa se utilizan los valores predeterminados para esa capa. Para obtener más información sobre los elementos attributeLayer y authenticationLayer, consulte Configuración de la capa de atributos CSIv2 de salida y Configuración de la capa de autenticación CSIv2 de salida.

Resultados

La capa de transporte CSIv2 de salida está ahora configurada para la autenticación de certificados de cliente.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: twlp_sec_csiv2outtransport.html