Liberty-Repository[8.5.5.6 oder höher]

Transportebene für eingehende CSIv2-Anforderungen konfigurieren

Sie können einen Liberty Profile-Server so konfigurieren, dass er Unterstützung für die Clientzertifikatsauthentifizierung für eingehende CSIv2-Anforderungen anfordert.

Informationen zu diesem Vorgang

Die Transportebene für eingehende CSIv2-Anforderungen für einen Liberty Profile-Server hat eine Clientzertifikatsauthentifizierung, die standardmäßig inaktiviert ist. Sie können das Element transportLayer so konfigurieren, dass es die zu verwendende SSL-Konfiguration angibt. Sie können das SSL-Element so konfigurieren, dass es die Clientzertifikatsauthentifizierung unterstützt oder voraussetzt. Das Zertifikat, das empfangen wird, wird anhand der Benutzerregistry des Servers authentifiziert und seine Identität wird nur verwendet, wenn keine andere Form der Authentifizierung in der CSIv2-Anforderung, z. B. eine Identitätszusicherung auf der Attributebene oder ein Authentifizierungstoken auf der Authentifizierungsebene, gesendet wurde.

Wenn Sie die Clientzertifikatsauthentifizierung verwenden, stellen Sie sicher, dass SSL vom Server unterstützt wird.

Vorgehensweise

  1. Fügen Sie die Features appSecurity-2.0 und ejbRemote-3.2 der Datei server.xml hinzu.
        <featureManager> 
            <feature>appSecurity-2.0</feature>
            <feature>ejbRemote-3.2</feature>
        </featureManager>
    Das folgende Beispiel ist die Standardkonfiguration ohne Angabe in der Datei server.xml.
        <orb id="defaultOrb">
            <serverPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Required"/>
                    <transportLayer/>
                </layers>
            </serverPolicy.csiv2>
            <clientPolicy.csiv2>
                <layers>
                    <attributeLayer identityAssertionEnabled="false"/>
                    <authenticationLayer mechanisms="LTPA,GSSUP" establishTrustInClient="Supported"/>
                    <transportLayer/>
                </layers>
            </clientPolicy.csiv2>
        </orb>
  2. Konfigurieren Sie die SSL-Unterstützung wie auf der Seite SSL-Kommunikation für das Liberty-Profil aktivieren beschrieben.
  3. Konfigurieren Sie das SSL-Element so, dass clientAuthentication oder clientAuthenticationSupported verwendet wird. Beispiel:
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthentication="true" />
    oder
        <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" 
             trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
    • Wenn Sie clientAuthentication="true" angeben, setzt der Server die Anforderung ab, dass ein Client ein Zertifikat senden soll. Falls der Client kein Zertifikat hat oder der Server das Zertifikat nicht anerkennt, ist der Handshake jedoch nicht erfolgreich.
    • Wenn Sie clientAuthenticationSupported="true" angeben, setzt der Server die Anforderung ab, dass ein Client ein Zertifikat senden soll. Falls der Client kein Zertifikat hat oder der Server das Zertifikat nicht anerkennt, kann der Handshake trotzdem erfolgreich sein.
    • Wenn Sie weder clientAuthentication noch clientAuthenticationSupported angeben, oder wenn Sie clientAuthentication="false" oder clientAuthenticationSupported="false" angeben, fordert der Server während des Handshakes kein Zertifikat vom Client an.
  4. Optional: Wenn Sie die Standardkonfiguration der Transportebene für eingehende Anforderungen ändern müssen, fügen Sie der Datei server.xml wie folgt ein <orb>-Element hinzu oder fügen Sie das transportLayer-Element einem vorhandenen Element hinzu. Ersetzen Sie die Werte im Beispiel durch Ihre eigenen Werte.
            <norb id="defaultOrb">
                <serverPolicy.csiv2>
                    <layers>
                        <transportLayer sslRef="defaultSSLConfig"/>
                    </layers>
                </serverPolicy.csiv2>
            </orb>
    Anmerkung: Der ID-Wert defaultOrb im <orb>-Element ist vordefiniert und kann nicht geändert werden.
  5. Stellen Sie sicher, dass der Server die verwendeten Clientzertifikate anerkennt.
  6. Stellen Sie sicher, dass die für die Clientauthentifizierung verwendeten Clientzertifikate einer Benutzeridentität in Ihrer Registry zugeordnet sind.
    • Bei der Basisregistry ist die Benutzeridentität der allgemeine Name (CN, Common Name) aus dem definierten Namen (DN, Distinguished Name) des Zertifikats.
    • Bei der LDAP-Registry (Lightweight Directory Access Protocol) muss der DN aus dem Clientzertifikat in der LDAP-Registry enthalten sein.
    Wenn Sie für eine Ebene keine Werte angeben, werden die Standardwerte für diese Ebene verwendet. Weitere Informationen zu den Elementen attributeLayer und authenticationLayer finden Sie in den Abschnitten Attributebene für eingehende CSIv2-Anforderungen konfigurieren und Authentifizierungsebene für eingehende CSIv2-Anforderungen konfigurieren.

Ergebnisse

Die Transportebene für eingehende CSIv2-Anforderungen ist jetzt für die Clientzertifikatsauthentifizierung konfiguriert.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_inboundtransport
Dateiname: twlp_sec_inboundtransport.html