Configuration de la couche transport CSIv2 sortante dans le conteneur du client d'application Liberty

Vous pouvez configurer le conteneur du client d'application Liberty pour l'exécution d'une authentification par certificat client pour les demandes CSIv2 sortantes.

Pourquoi et quand exécuter cette tâche

L'authentification par certificat client de la couche transport CSIv2 sortante pour un conteneur du client d'application Liberty n'est pas utilisée par défaut. Vous pouvez configurer transportLayer afin d'indiquer la configuration SSL à utiliser.

Vous pouvez configurer l'élément SSL pour prendre en charge l'authentification par certificat ou la rendre obligatoire. Le certificat adressé au serveur est authentifié par rapport au registre d'utilisateurs de ce serveur et son identité n'est utilisée que si aucune autre forme d'authentification n'est envoyée dans la demande CSIv2, comme une vérification d'identité dans la couche d'attribut ou un jeton d'authentification dans la couche d'authentification layer.

Procédure

  1. Configurez la prise en charge SSL comme décrit dans Activation de la communication SSL pour l'application Liberty.
  2. Facultatif : Configurez l'élément SSL pour l'utilisation de clientAuthentication ou clientAuthenticationSupported. Par exemple,
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    ou
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  3. Configurez l'élément <orb> dans le fichier client.xml comme suit ou ajoutez l'élément transportLayer à un élément existant et remplacer les valeurs de l'exemple par vos valeurs :
    <orb id="defaultOrb">
        <clientPolicy.clientContainerCsiv2>
            <layers>
                <transportLayer sslRef="defaultSSLConfig"/>
            </layers>
        </clientPolicy.clientContainerCsiv2>
    </orb>
    Without specifying an <orb> element, the following configuration is implicit.
    <orb id="defaultOrb">
        <clientPolicy.clientContainerCsiv2>
            <layers>
                <authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
                <transportLayer/>
            </layers>
        </clientPolicy.clientContainerCsiv2>
    </orb>
  4. Veillez à ce que le serveur fasse confiance aux certificats de client envoyés par ce serveur.
    • Lorsque l'attribut clientAuthentication est défini sur true dans l'élément ssl, le client envoie un certificat client uniquement aux serveurs qui nécessitent ou prennent en charge l'authentification par certificat client.
    • Lorsque l'attribut clientAuthenticationSupported est défini sur true dans l'élément ssl, le client peut choisir d'envoyer ou non un certificat client en fonction de la configuration d'élément ssl qui est utilisée par le serveur.
    • Lorsque les attributs clientAuthentication et clientAuthenticationSupported ne sont pas définis dans l'élément ssl, le serveur qui fait office de client n'est pas activé avec l'authentification par certificat client.

Résultats

Votre couche transport CSIv2 sortante est maintenant configurée pour l'authentification par certificat client.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_csiv2outtransport_client.html