可配置 Liberty 概要文件应用程序客户机容器以对出站 CSIv2 请求执行客户机证书认证。
关于此任务
缺省情况下,不会对 Liberty 概要文件应用程序客户机容器使用出站 CSIv2 传输层的客户机证书认证。可配置 transportLayer
以指定要使用的 SSL 配置。
您可将 SSL 元素配置为支持或需要客户机证书认证。系统针对服务器用户注册表认证发送至服务器的证书,仅当 CSIv2 请求中未发送任何其他形式的认证(例如,属性层中的身份断言或认证层中的认证令牌)时,才使用其身份。
过程
- 按对 Liberty 概要文件启用 SSL 通信中所述配置 SSL 支持。
- 可选:配置 SSL 元素以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthentication="true" />
或
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 按如下所示在 client.xml 文件中配置 <orb> 元素,或将 transportLayer
元素添加至现有文件并将样本中的样本值替换为您的值:
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<transportLayer sslRef="defaultSSLConfig"/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
如果未指定
<orb> 元素,那么以下配置是隐式的。
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
- 确保服务器信任从此服务器发送的任何客户机证书。
- 在 ssl 元素中,clientAuthentication 属性设置为 true 时,客户机只能将客户机证书发送至需要或支持客户机证书认证的服务器。
- 在 ssl 元素中,clientAuthenticationSupported 属性设置为 true 时,客户机可选择是否根据服务器使用的 ssl 元素配置发送客户机证书。
- 如果未在 ssl 元素中设置 clientAuthentication 和 clientAuthenticationSupported
属性,那么系统不会对充当客户机的服务器启用客户机证书认证。
结果
现在已配置出站 CSIv2 传输层以用于客户机证书认证。