アウトバウンド CSIv2 要求に対してクライアント証明書認証を実行するように Liberty プロファイル・アプリケーション・クライアント・コンテナーを構成できます。
このタスクについて
Liberty プロファイル・アプリケーション・クライアント・コンテナーのアウトバウンド CSIv2 トランスポート層のクライアント証明書認証は、
デフォルトでは使用されません。transportLayer を構成して、使用する SSL 構成を指定できます。
クライアント証明書認証をサポートするように、または必要とするように、SSL エレメントを構成できます。サーバーに送信される証明書は、サーバーのユーザー・レジストリーに照らして認証され、証明書の ID は、属性層の ID アサーションや認証層の認証トークンのような他の形の認証が、CSIv2 要求内で何も送信されていない場合のみ使用されます。
手順
- 『Liberty プロファイルの SSL 通信の使用可能化』に説明されているように、SSL サポートを構成します。
- オプション: clientAuthentication または clientAuthenticationSupported を使用するように SSL エレメントを構成します。 以下に例を示します。
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthentication="true" />
or
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 次のように client.xml ファイル内の <orb> エレメントを構成するか、既存のエレメントに transportLayer エレメントを追加し、例で使われているサンプル値を実際の値に置き換えます。
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<transportLayer sslRef="defaultSSLConfig"/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
<orb> エレメントを指定しなくても、以下の構成が暗黙指定されます。
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
- サーバーが、このサーバーから送信されるすべてのクライアント証明書を信頼することを確認します。
- ssl エレメント内で clientAuthentication 属性が true に設定されている場合、
クライアントは、クライアント証明書認証が必須であるか、またはクライアント証明書認証をサポートするサーバーにのみ、クライアント証明書を送信します。
- ssl エレメント内で clientAuthenticationSupported 属性が true に設定されている場合、
クライアントは、クライアント証明書を送信するかどうかを、サーバーによって使用される ssl エレメント構成に基づいて選択できます。
- ssl エレメント内に clientAuthentication 属性および clientAuthenticationSupported 属性が設定されていない場合、
クライアントとして動作するサーバーがクライアント証明書認証で使用可能にされることはありません。
タスクの結果
これで、クライアント証明書認証についてのアウトバウンド CSIv2 トランスポート層の構成が完了しました。