Liberty-Repository[8.5.5.6 oder höher]

Transportebene für abgehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty Profile-Server so konfigurieren, dass er die Clientzertifikatsauthentifizierung für abgehende CSIv2-Anforderungen durchführt.

Informationen zu diesem Vorgang

Die Clientzertifikatsauthentifizierung der abgehenden CSIv2-Transportebene für einen Liberty Profile-Server ist standardmäßig inaktiviert. Sie können das Element transportLayer so konfigurieren, dass es die zu verwendende SSL-Konfiguration angibt.

Sie können das SSL-Element so konfigurieren, dass es die Clientzertifikatsauthentifizierung unterstützt oder voraussetzt. Das Zertifikat, das an den Downstream-Server gesendet wird, wird anhand der Benutzerregistry des Downstream-Servers authentifiziert und seine Identität wird nur verwendet, wenn keine andere Form der Authentifizierung in der CSIv2-Anforderung, z. B. eine Identitätszusicherung auf der Attributebene oder ein Authentifizierungstoken auf der Authentifizierungsebene, gesendet wird.

Wenn Sie die Clientzertifikatsauthentifizierung verwenden, stellen Sie sicher, dass SSL von diesem Server unterstützt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager> 
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>

    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.

        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Konfigurieren Sie die SSL-Unterstützung wie auf der Webseite SSL-Kommunikation für das Liberty-Profil aktivieren beschrieben.
  3. Optional: Konfigurieren Sie das SSL-Element so, dass clientAuthentication oder clientAuthenticationSupported verwendet wird. Beispiel:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    oder
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
            trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
  4. Optional: Wenn Sie die Standardkonfiguration der Transportebene für abgehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das transportLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
        <orb id="defaultOrb">
            <clientPolicy.csiv2>
                <layers>
                    <transportLayer sslRef="defaultSSLConfig"/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  5. Stellen Sie sicher, dass der Downstream-Server alle Clientzertifikate, die von diesem Server gesendet werden, anerkennt.
  6. Vergewissern Sie sich, dass die für die Clientauthentifizierung verwendeten Clientzertifikate einer Benutzeridentität in der Benutzerregistry des Downstream-Servers zugeordnet sind.
    • Bei der Basisregistry ist die Benutzeridentität der allgemeine Name (CN, Common Name) aus dem definierten Namen (DN, Distinguished Name) des Zertifikats.
    • Bei der LDAP-Registry (Lightweight Directory Access Protocol) muss der DN aus dem Clientzertifikat in der LDAP-Registry enthalten sein.
    Anmerkungen:
    • Wenn das Attribut clientAuthentication im <ssl>-Element auf true gesetzt ist, sendet der Client ein Clientzertifikat nur an Server, die die Clientzertifikatsauthentifizierung entweder voraussetzen oder unterstützen.
    • Wenn das Attribut clientAuthenticationSupported im <ssl>-Element auf true gesetzt ist, kann der Client entscheiden, ob ein Clientzertifikat gesendet werden soll, das auf der vom Downstream-Server verwendeten Konfiguration des <ssl>-Elements basiert.
    • Wenn die Attribute clientAuthentication und clientAuthenticationSupported nicht im <ssl>-Element definiert sind, wird der als Client fungierende Server nicht mit der Clientzertifikatsauthentifizierung aktiviert.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet. Weitere Informationen zu den Elementen attributeLayer und authenticationLayer finden Sie in den Abschnitten Attributebene für abgehende CSIv2-Anforderungen konfigurieren und Authentifzierungsebene für abgehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Transportebene für abgehende CSIv2-Anforderungen ist jetzt für die Clientzertifikatsauthentifizierung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_csiv2outtransport
Dateiname: twlp_sec_csiv2outtransport.html