配置入站 CSIv2 传输层
可配置 Liberty 服务器以声明对针对入站 CSIv2 请求的客户机证书认证的支持。
关于此任务
缺省情况下,Liberty 服务器的入站 CSIv2 传输层的客户机证书认证已禁用。可配置 transportLayer 以指定要使用的 SSL 配置。您可将 SSL 元素配置为支持或需要客户机证书认证。系统针对服务器用户注册表认证所接收的证书,仅当 CSIv2 请求中未发送任何其他形式的认证(例如,属性层中的身份断言或认证层中的认证令牌)时,才使用其身份。
使用客户机证书认证时,确保此服务器支持 SSL。
过程
- 在 server.xml 文件中添加 appSecurity-2.0 和 ejbRemote-3.2 功能部件。
<featureManager> <feature>appSecurity-2.0</feature> <feature>ejbRemote-3.2</feature> </featureManager>
以下示例是缺省配置,不必在 server.xml 文件中指定该配置。<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/> <transportLayer/> </layers> </serverPolicy.csiv2> <clientPolicy.csiv2> <layers> <attributeLayer identityAssertionEnabled="false"/> <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/> <transportLayer/> </layers> </clientPolicy.csiv2> </orb>
- 按在 Liberty 中启用 SSL 通信页面中描述配置 SSL 支持。
- 配置 SSL 元素以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
或<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 如果指定 clientAuthentication="true",那么服务器会请求客户机发送证书。但是,如果客户机没有证书,或者服务器不信任证书,那么握手不会成功。
- 如果指定 clientAuthenticationSupported="true",那么服务器会请求客户机发送证书。但是,即使客户机没有证书,或者服务器不信任证书,握手可能还是会成功。
- 如果未指定 clientAuthentication 或 clientAuthenticationSupported,或者指定 clientAuthentication="false" 或 clientAuthenticationSupported="false",那么握手期间服务器不会请求客户机发送证书。
- 可选:如果需要更改缺省入站传输层配置,请按如下所示在 server.xml
文件中添加 <orb> 元素,或将 transportLayer 元素添加至现有文件。将示例中的样本值替换为您的值。
<orb id="defaultOrb"> <serverPolicy.csiv2> <layers> <transportLayer sslRef="defaultSSLConfig"/> </layers> </serverPolicy.csiv2> </orb>
注: <orb> 元素中的 ID 值 defaultOrb 是预先定义的,不能修改。 - 确保服务器信任所使用的任何客户机证书。
- 确保用于客户机认证的任何客户机证书已映射到注册表中的用户身份。
- 对于基本注册表,用户身份是证书的专有名称 (DN) 中的公共名 (CN)。
- 对于轻量级目录访问协议 (LDAP) 注册表,客户机证书中的 DN 必须位于 LDAP 注册表中。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundtransport
文件名:twlp_sec_inboundtransport.html