对特定入站端点启用安全套接字层客户机认证
当您建立安全套接字层 (SSL) 配置时,您可以对特定入站端点启用客户机认证。
开始之前
关于此任务
过程
- 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > 入站 > SSL_configuration。 如果您要对所有进程启用 SSL 客户机认证,请在节点或单元级别为新的端点定义 SSL 配置,以便同一节点或整个单元上的所有进程都了解该配置。有关更多信息,请参阅创建安全套接字层配置。
- 选择覆盖继承的值。 SSL 配置用于当前范围以及任何未指定 SSL 配置的更低级别范围。仅对于对象层次结构中的服务器和节点组,此字段才会显示,对于顶层节点或单元,此字段不会显示。
- 从下拉列表中选择 SSL 配置。
- 单击更新证书别名列表。
- 从下拉列表中选择证书别名。
- 单击确定保存配置。
结果
下一步做什么
用于基于因特网 ORB 间协议 (RMI/IIOP) 安全性的远程方法调用的公共安全互操作性 V2 (CSIv2) 安全端点不能覆盖继承的值。当您在集中管理的“安全通信”面板选择了其余 SSL 属性时,虽然这些属性对于 CSIv2 有效,但客户机认证选择仍然由 CSIv2 协议配置控制。
要对 CSIv2 协议启用 SSL 客户机证书认证,您必须使用 CSIv2 入站和出站认证面板。要在两个服务器之间执行 SSL 客户机认证,您必须同时对入站和出站策略启用(支持或需要)SSL 客户机证书认证。
WebSphere® Application Server 可以请求(支持)客户机来为 SSL 握手提供签署者证书,或者,服务器也可以要求客户机为 SSL 握手提供有效的签署者证书,这种方法更安全。但是,当服务器需要证书时,服务器必须为连接到该服务器的每个客户机获取一个签署者,这涉及更多的服务器端管理。
在服务器之间使用客户机证书时,不应该将该证书用于标识。但是,当纯客户机发送客户机证书时,除非指定了消息级别标识(如用户标识或密码),否则该证书用于标识。
执行以下步骤,以便对服务器之间的 CSIv2 协议启用客户机证书认证:
- 单击安全性 > 全局安全性。
- 展开 RMI/IIOP 安全性部分。
- 单击 CSIv2 入站认证。
- 在“客户机认证”下,选择受支持或必需。
当您选择“必需”时,那么仅会打开一个
SSL 端口 (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS)。当您选择“受支持”时,那么会打开两个
SSL 端口(打开 CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS 和 CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS)。
如果有两个端口,那么客户机可以根据端口的安全性配置策略选择任一端口。
- 单击确定进行保存。
- 如果您要在服务器之间执行 SSL 客户机认证,请完成剩余的步骤。如果您未完成剩余的步骤,那么仅启用了纯客户机来发送客户机证书。
- 展开 RMI/IIOP 安全性部分。
- 单击 CSIv2 出站认证。
- 在“客户机认证”下,选择受支持或必需。
您启用 SSL 客户机证书认证的入站安全端点的 SSL 配置必须具有签署者证书,该证书来自任何尝试打开与该入站安全端点的连接的客户机。您必须收集这些签署者并将它们添加到与入站安全端点 SSL 配置相关联的信任库。