对特定入站端点启用安全套接字层客户机认证

当您建立安全套接字层 (SSL) 配置时,您可以对特定入站端点启用客户机认证。

开始之前

端点配置必须已在 SSL 拓扑中存在。

关于此任务

在管理控制台中完成下列步骤:

过程

  1. 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > 入站 > SSL_configuration 如果您要对所有进程启用 SSL 客户机认证,请在节点或单元级别为新的端点定义 SSL 配置,以便同一节点或整个单元上的所有进程都了解该配置。有关更多信息,请参阅创建安全套接字层配置
  2. 选择覆盖继承的值 SSL 配置用于当前范围以及任何未指定 SSL 配置的更低级别范围。仅对于对象层次结构中的服务器和节点组,此字段才会显示,对于顶层节点或单元,此字段不会显示。
  3. 从下拉列表中选择 SSL 配置。
  4. 单击更新证书别名列表
  5. 从下拉列表中选择证书别名
  6. 单击确定保存配置。

结果

您可以对每个使用相同 SSL 配置的端点重复上述步骤,以便对入站端点启用客户机认证。

下一步做什么

CSIv2 协议例外:

用于基于因特网 ORB 间协议 (RMI/IIOP) 安全性的远程方法调用的公共安全互操作性 V2 (CSIv2) 安全端点不能覆盖继承的值。当您在集中管理的“安全通信”面板选择了其余 SSL 属性时,虽然这些属性对于 CSIv2 有效,但客户机认证选择仍然由 CSIv2 协议配置控制。

要对 CSIv2 协议启用 SSL 客户机证书认证,您必须使用 CSIv2 入站和出站认证面板。要在两个服务器之间执行 SSL 客户机认证,您必须同时对入站和出站策略启用(支持或需要)SSL 客户机证书认证。

WebSphere® Application Server 可以请求(支持)客户机来为 SSL 握手提供签署者证书,或者,服务器也可以要求客户机为 SSL 握手提供有效的签署者证书,这种方法更安全。但是,当服务器需要证书时,服务器必须为连接到该服务器的每个客户机获取一个签署者,这涉及更多的服务器端管理。

在服务器之间使用客户机证书时,不应该将该证书用于标识。但是,当纯客户机发送客户机证书时,除非指定了消息级别标识(如用户标识或密码),否则该证书用于标识。

执行以下步骤,以便对服务器之间的 CSIv2 协议启用客户机证书认证:
  1. 单击安全性 > 全局安全性
  2. 展开 RMI/IIOP 安全性部分。
  3. 单击 CSIv2 入站认证
  4. 在“客户机认证”下,选择受支持必需。 当您选择“必需”时,那么仅会打开一个 SSL 端口 (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS)。当您选择“受支持”时,那么会打开两个 SSL 端口(打开 CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS 和 CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS)。

    如果有两个端口,那么客户机可以根据端口的安全性配置策略选择任一端口。

  5. 单击确定进行保存。
  6. 如果您要在服务器之间执行 SSL 客户机认证,请完成剩余的步骤。如果您未完成剩余的步骤,那么仅启用了纯客户机来发送客户机证书。
  7. 展开 RMI/IIOP 安全性部分。
  8. 单击 CSIv2 出站认证
  9. 在“客户机认证”下,选择受支持必需

您启用 SSL 客户机证书认证的入站安全端点的 SSL 配置必须具有签署者证书,该证书来自任何尝试打开与该入站安全端点的连接的客户机。您必须收集这些签署者并将它们添加到与入站安全端点 SSL 配置相关联的信任库。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslclientauthinbound
文件名:tsec_sslclientauthinbound.html