Configuración de la capa de transporte CSIv2 de entrada

Puede configurar un servidor de Liberty para reclamar soporte para la autenticación de certificados de cliente para las solicitudes CSIv2 de entrada.

Acerca de esta tarea

La capa de transporte CSIv2 de entrada para un servidor de Liberty tiene una autenticación de certificados de cliente que está inhabilitada de forma predeterminada. Puede configurar transportLayer para especificar la configuración SSL que desee utilizar. Puede configurar el elemento SSL para dar soporte o requerir la autenticación de certificados de cliente. El certificado que se recibe se autentica con el registro de usuarios del servidor, y su identidad sólo se utiliza si no se ha enviado ninguna otra forma de autenticación en la solicitud CSIv2 como, por ejemplo, una aserción de identidad en la capa de atributos o una señal de autenticación en la capa de autenticación.

Cuando utiliza la autenticación de certificados de cliente, asegúrese de que el servidor dé soporte a SSL.

Procedimiento

  1. Añada las características appSecurity-2.0 y ejbRemote-3.2 en el archivo server.xml.
        <featureManager>
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    El ejemplo siguiente es la configuración predeterminada sin tener que especificarla en el archivo server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Configure el soporte SSL como se describe en la página Habilitación de la comunicación SSL en Liberty.
  3. Configure el elemento SSL para que utilice clientAuthentication o clientAuthenticationSupported. Por ejemplo:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    o
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • Si especifica clientAuthentication="true", el servidor solicita que el cliente envíe un certificado. No obstante, si el cliente no tiene un certificado o si el certificado no es fiable para el servidor, el reconocimiento no resulta satisfactorio.
    • Si especifica clientAuthenticationSupported="true", el servidor solicita que el cliente envíe un certificado. No obstante, si el cliente no tiene un certificado o si el certificado no es fiable para el servidor, el reconocimiento puede ser satisfactorio.
    • Si no especifica clientAuthentication o clientAuthenticationSupported, o si especifica clientAuthentication="false" o clientAuthenticationSupported="false", el servidor no solicita que el cliente envíe un certificado durante el reconocimiento.
  4. Opcional: si tiene que cambiar la configuración predeterminada de la capa de transporte de entrada, añada un elemento <orb> en el archivo server.xml tal como se indica a continuación o añada el elemento transportLayer a uno ya existente. Sustituya los valores de ejemplo por sus valores.
            <orb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    Nota: El valor de ID defaultOrb en el elemento <orb> viene predefinido y no se puede modificar.
  5. Asegúrese de que el servidor confía en los certificados de cliente que se utilizan.
  6. Asegúrese de que los certificados de cliente utilizados para la autenticación de cliente se correlacionen con una identidad de usuario en el registro.
    • Para el registro básico, la identidad de usuario es el nombre común (CN) del nombre distinguido (DN) del certificado.
    • Para un registro LDAP (Lightweight Directory Access Protocol), el DN del certificado de cliente debe estar en el registro LDAP.
    Al omitir una capa se utilizan los valores predeterminados para esa capa. Para obtener más información sobre los elementos attributeLayer y authenticationLayer, consulte Configuración de la capa de atributos CSIv2 de entrada y Configuración de la capa de autenticación CSIv2 de entrada.

Resultados

La capa de transporte CSIv2 de entrada está ahora configurada para la autenticación de certificados de cliente.

Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_inboundtransport
Nombre de archivo:twlp_sec_inboundtransport.html