SSL-Clientauthentifizierung für einen bestimmten Endpunkt für eingehende Anforderungen aktivieren

Wenn Sie eine SSL-Konfiguration (Secure Sockets Layer) erstellen, können Sie die Clientauthentifizierung für einen bestimmten Endpunkt für eingehende Anforderungen aktivieren.

Vorbereitende Schritte

Die Endpunktkonfiguration muss bereits in der SSL-Topologie vorhanden sein.

Informationen zu diesem Vorgang

Führen Sie in der Administrationskonsole die folgenden Schritte aus:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkte verwalten > Eingehend > SSL-Konfiguration. Wenn Sie die SSL-Clientauthentifizierung für alle Prozesse aktivieren möchten, definieren Sie eine SSL-Konfiguration für den neuen Endpunkt auf Knoten- oder Zellenebene, so dass sie für alle Prozesse auf demselben Knoten bzw. in der gesamten Zelle sichtbar ist. Weitere Informationen finden Sie im Artikel SSL-Konfiguration erstellen.
  2. Wählen Sie Übernommene Werte überschreiben aus. Die SSL-Konfiguration wird für diesen Bereich und alle untergeordneten Bereiche verwendet, die noch keine eigene SSL-Konfiguration haben. Dieses Feld wird für Server und Knotengruppen in der Objekthierarchie und nicht für den Ausgangsknoten oder die Zelle angezeigt.
  3. Wählen Sie in der Dropdown-Liste eine SSL-Konfiguration aus.
  4. Klicken Sie auf Zertifikataliasliste aktualisieren.
  5. Wählen Sie in der Dropdown-Liste einen Zertifikatalias aus.
  6. Klicken Sie auf OK, um die Konfiguration zu speichern.

Ergebnisse

Sie können die vorherigen Schritte für jeden Endpunkt wiederholen, der dieselbe SSL-Konfigurtion verwendet, um die Clientauthentifizierung für die Eingangsendpunkte zu aktivieren.

Nächste Schritte

Ausnahme für das Protokoll CSIv2:

Sichere CSIv2-Endpunkte (Common Secure Interoperability Version 2), die für RMI/IIOP-Sicherheit (Remote Method Invocation over the Internet Inter-ORB Protocol) verwendet werden, können übernommene Werte nicht überschreiben. Während die restlichen SSL-Eigenschaften für CSIv2 gelten, wenn sie in der zentral verwalteten Anzeige für sichere Kommunikation ausgewählt werden, wird die Auswahl der Clientauthentifizierung über die Konfiguration des Protokolls CSIv2 gesteuert.

Wenn Sie die SSL-Clientzertifikatauthentifizierung für das Protokoll CSIv2 aktivieren möchten, müssen Sie die Anzeigen für die Authentifizierung eingehender und abgehender Daten gemäß CSIv2 verwenden. Für die Aktivierung der SSL-Clientauthentifizierung zwischen zwei Servern müssen Sie die Authentifizierung von SSL-Clientzertifikaten für die Richtlinien für eingehende und abgehende Daten aktivieren (unterstützt oder erforderlich).

WebSphere Application Server kann Unterzeichnerzertifikate für den SSL-Handshake von Clients unterstützen, oder der Server kann Clients zur Bereitstellung eines gültigen Unterzeichnerzertifikats für den SSL-Handshake auffordern, was die sicherere Methode ist. Wenn der Server Zertifikate anfordert, muss er jedoch für jeden Client, der eine Verbindung zum Server herstellt, einen Unterzeichner anfordern. Dies bedeutet einen erhöhten Verwaltungsaufwand auf Serverseite.

Das Clientzertifikat darf nicht als Identität verwendet werden, wenn es zwischen Servern ausgetauscht wird. Wenn jedoch ein reiner Client das Clientzertifikat sendet, wird dieses als Identität verwendet, sofern keine Identität auf Nachrichtenebene, z. B. Benutzer-ID oder Kennwort, angegeben ist.

Gehen Sie wie folgt vor, um die Clientzertifikatauthentifizierung für das Protokoll CSIv2 zwischen Servern zu aktivieren:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie auf den Abschnitt RMI/IIOP-Sicherheit.
  3. Klicken Sie auf Eingehende Authentifizierung gemäß CSIv2.
  4. Wählen Sie unter "Clientauthentifizierung" Unterstützt oder Erforderlich aus. Wenn Sie "Erforderlich" auswählen, wird nur ein SSL-Port geöffnet (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS). Wenn Sie "Unterstützt" auswählen, werden zwei SSL-Ports geöffnet (CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS und CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS).

    Wenn zwei Ports geöffnet sind, kann der Client den Port basierend auf der Sicherheitskonfigurationsrichtlinie des Ports auswählen.

  5. Klicken Sie auf OK, um die Konfiguration zu speichern.
  6. Wenn Sie die SSL-Clientauthentifizierung zwischen Servern aktivieren möchten, führen Sie die verbleibenden Schritte aus: Wenn Sie die verbleibenden Schritte nicht ausführen, können nur reine Clients Clientzertifikate senden.
  7. Klicken Sie auf den Abschnitt RMI/IIOP-Sicherheit.
  8. Klicken Sie auf Abgehende Authentifizierung gemäß CSIv2.
  9. Wählen Sie unter "Clientauthentifizierung" Unterstützt oder Erforderlich aus.

Die SSL-Konfiguration für sichere Endpunkte für eingehende Daten, für die Sie die SSL-Clientzertifikatauthentifizierung aktivieren, muss das Unterzeichnerzertifikat jedes Clients haben, der versucht, eine Verbindung zu diesem sicheren Endpunkt für eingehende Daten zu öffnen. Sie müssen diese Unterzeichner zusammenstellen und anschließend zu dem Truststore hinzufügen, der der SSL-Konfiguration für sichere Endpunkte für eingehende Daten zugeordnet ist.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslclientauthinbound
Dateiname:tsec_sslclientauthinbound.html