[AIX Solaris HP-UX Linux Windows][IBM i]

示例 3:配置客户机证书认证和 RunAs 系统

本示例介绍纯 Java™ 客户机 C,它访问 S1 上的安全企业 Bean。

关于此任务

C 使用安全套接字层 (SSL) 客户机证书,向 S1 认证。S1 将证书中的专有名称 (DN) 的公共名映射到本地注册表中的用户。此情况下的用户为 bob。S1 上的企业 Bean 代码访问 S2 上的另一个企业 Bean。因为 RunAs 方式是系统,所以调用凭证对于任何出站请求而言都设为 server1。

C 使用安全套接字层 (SSL) 客户机证书向 S1 认证。S1 将证书中的专有名称 (DN) 的公共名映射到本地注册表中的用户。此情况下的用户为 bob。 S1 上的企业 Bean 代码访问 S2 上的另一个企业 Bean。因为 RunAs 方式是system,所以调用凭证对于任何出站请求而言都设为 server1。

过程

  1. 配置客户机 C 进行传输层认证(SSL 客户机证书)。
    1. 将客户机指向 sas.client.props 文件。

      [AIX Solaris HP-UX Linux Windows]使用 com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props 属性。 所有进一步配置涉及该文件中的属性设置。

      [IBM i]使用 com.ibm.CORBA.ConfigURL=file:/profile_root /properties/sas.client.props 属性。profile_root 变量是您使用的特定概要文件。 所有进一步配置涉及该文件中的属性设置。

    2. 启用 SSL。

      在这种情况下,支持 SSL,但它不是必需的:com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. 在消息层禁用客户机认证。 com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=false
    4. 在传输层启用客户机认证。 它受支持,但不是必需的。com.ibm.CSI.performTLClientAuthenticationRequired=false, com.ibm.CSI.performTLClientAuthenticationSupported=true
  2. 配置 S1 服务器。 在管理控制台中,为入局连接配置 S1 以支持具有客户机证书认证的 SSL。为出局请求配置 S1 服务器,以支持消息层客户机认证。
    1. 为入局连接配置 S1。
      1. 禁用身份断言。
      2. 禁用用户标识和密码认证。
      3. 启用 SSL。
      4. 启用 SSL 客户机证书认证。
    2. 为出局连接配置 S1。
      1. 禁用身份断言。
      2. 禁用用户标识和密码认证。
      3. 启用 SSL。
      4. 启用 SSL 客户机证书认证。
  3. 配置 S2 服务器。

    在管理控制台中,为入局请求配置 S2 服务器以支持 SSL 上的消息层认证。出局请求的配置与该方案无关。

    1. 禁用身份断言。
    2. 启用用户标识和密码认证。
    3. 启用 SSL。
    4. 禁用 SSL 客户机认证。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario3
文件名:tsec_scenario3.html