配置出站 CSIv2 传输层
可配置 Liberty 服务器以对出站 CSIv2 请求执行客户机证书认证。
关于此任务
缺省情况下,已对 Liberty 服务器禁用出站 CSIv2 传输层的客户机证书认证。可配置 transportLayer 以指定要使用的 SSL 配置。
您可将 SSL 元素配置为支持或需要客户机证书认证。系统针对下游服务器用户注册表认证发送至下游服务器的证书,仅当 CSIv2 请求中未发送任何其他形式的认证(例如,属性层中的身份断言或认证层中的认证令牌)时,才使用其身份。
使用客户机证书认证时,确保此服务器支持 SSL。
过程
- 在 server.xml 文件中添加 appSecurity-2.0 和 ejbRemote-3.2 功能部件。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
以下示例是缺省配置,不必在 server.xml 文件中指定该配置。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 按对 Liberty 启用 SSL 通信中所述配置 SSL 支持。
- 可选:配置 SSL 元素以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
或<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
可选:如果您需要更改出站传输层配置所使用的 SSL 配置,可以通过按如下所示在 server.xml 文件中添加 <orb> 元素,或者将 transportLayer 元素添加至现有文件来进行更改。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <clientPolicy.csiv2> <layers> <transportLayer sslRef="defaultSSLConfig"/> </layers> </clientPolicy.csiv2> </orb>
还可以从 SSL 配置来配置出站选项。如果在传输层未设置 sslRef,那么 CSIv2 将使用 SSL 配置出站缺省值。有关 SSL 出站缺省值的更多信息,请参阅配置出站 CSIv2 属性层。
还可以在 SSL 配置中设置出站 SSL 过滤器。出站 SSL 过滤器使用出站连接的主机和/或端口来确定要使用的 SSL 配置。有关出站 SSL 过滤器的更多信息,请参阅SSL 配置的出站过滤器。
- 确保下游服务器信任从此服务器发送的任何客户机证书。
- 确保用于客户机认证的所有客户机证书已映射至下游服务器用户注册表中的用户身份。
- 对于基本注册表,用户身份是证书的专有名称 (DN) 中的公共名 (CN)。
- 对于轻量级目录访问协议 (LDAP) 注册表,客户机证书中的 DN 必须位于 LDAP 注册表中。
注:如果省略层,那么系统对该层使用缺省值。有关 attributeLayer 和 authenticationLayer 元素的更多信息,请参阅配置出站 CSIv2 属性层和配置出站 CSIv2 认证层。- 在 <ssl> 元素中,clientAuthentication 属性设置为 true 时,客户机只能将客户机证书发送至需要或支持客户机证书认证的服务器。
- 在 <ssl> 元素中,clientAuthenticationSupported 属性设置为 true 时,客户机可选择是否根据下游服务器使用的 <ssl> 元素配置发送客户机证书。
- 如果未在 <ssl> 元素中设置 clientAuthentication 和 clientAuthenticationSupported 属性,那么系统不会对充当客户机的服务器启用客户机证书认证。
结果

文件名:twlp_sec_csiv2outtransport.html