您可以配置 Liberty 設定檔應用程式用戶端儲存器,以便對出埠 CSIv2 要求執行用戶端憑證鑑別。
關於這項作業
依預設,不會將出埠 CSIv2 傳輸層的用戶端憑證鑑別,用於 Liberty 設定檔應用程式用戶端儲存器。您可以配置 transportLayer,來指定要使用的 SSL 配置。
您可以將 SSL 元素配置成支援或需要用戶端憑證鑑別。會鑑別傳送至伺服器的憑證是否符合伺服器的使用者登錄,且只有在 CSIv2 要求中未傳送其他任何形式的鑑別時(例如,屬性層中的身分主張,或鑑別層中的鑑別記號),才會使用其身分。
程序
- 依照啟用 Liberty 設定檔的 SSL 通訊中的說明,來配置 SSL 支援。
- 選用:配置 SSL 元素,以使用 clientAuthentication 或 clientAuthenticationSupported。 例如,
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthentication="true" />
或
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
- 按如下所示,在 client.xml 檔中配置 <orb> 元素,或是將 transportLayer 元素新增至現有檔案,並以您的值取代範例中的範例值:
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<transportLayer sslRef="defaultSSLConfig"/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
如果沒有指定
<orb> 元素,以下是隱含的配置。
<orb id="defaultOrb">
<clientPolicy.clientContainerCsiv2>
<layers>
<authenticationLayer mechanisms="GSSUP" establishTrustInClient="Supported"/>
<transportLayer/>
</layers>
</clientPolicy.clientContainerCsiv2>
</orb>
- 確定伺服器信任此伺服器所傳送的任何用戶端憑證。
- 當 ssl 元素中的 clientAuthentication 屬性設為 true 時,用戶端只會將用戶端憑證傳送至需要或支援用戶端憑證鑑別的伺服器。
- 當 ssl 元素中的 clientAuthenticationSupported 屬性設為 true 時,用戶端可選擇是否根據伺服器使用的 ssl 元素配置,來傳送用戶端憑證。
- 當 ssl 元素中沒有設定 clientAuthentication 和 clientAuthenticationSupported 屬性時,擔任用戶端的伺服器不會啟用用戶端憑證鑑別。
結果
現在您已配置出埠 CSIv2 傳輸層,以鑑別用戶端憑證。