《为IBMHttpServer与WAS配置基于SSL证书的客户端认证.doc》由会员分享,可在线阅读,更多相关《为IBMHttpServer与WAS配置基于SSL证书的客户端认证.doc(24页珍藏版)》请在三一文库上搜索。
1、为IBM Http Server 和 WAS配置基于SSL证书的客户端认证内容提要:本文介绍了如何在IBM Http Server和浏览器端配置基于ssl的客户端证书认证。说明:为IBM Http Server 和 WAS配置基于SSL证书的客户端认证第一部分配置IBM Http Server和浏览器之间的客户端认证为了便于介绍配置的完整过程,本文中使用ikeyman创建密钥库和自签署证书,代替实际生成环境中常见的专业证书颁发机构颁发的证书。如果您拥有现成的个人证书和颁发机构的根证书,则请跳过前2步。1创建一个PKCS12格式的密钥库testKey.p12,并在这个密钥库中生成一个自签署证书。
2、2把上一步中创建的自签署证书导出为.arm格式的文件证书文件,本例中命名为testcert.arm。3为了使客户端和服务器端的ssl握手成功,需要把刚才导出的testcert.arm导入到IHS的密钥库IHSKey.kdb里(实际生产环境中需要把客户端证书的颁发机构的证书添加到IHS的密钥库里)。4接下来,需要把把证书导入到浏览器里(以IE为例)。a. 在 工具Internet选项内容证书 里,选择“客户端验证”,“个人”证书,选择“导入”,把密钥库文件testKey.p12导入。b 将安全级别设置成中级。可以看到证书的具体信息。c. 点击“高级”属性,在“证书目的”列表里勾选上“客户端验证”
3、。5接下来需要在IHS里进行相应的配置。a. 在IHS的配置文件httpd.conf里添加如下配置,使IHS处理基于ssl的安全请求。其中,“SSLClientAuth”是客户端验证的开关,配置成“required”表示需要客户端认证。#-LoadModule ibm_ssl_module modules/mod_ibm_ssl.soListen 443ServerName DocumentRoot C:/Program SSLEnableKeyfile C:/Program SSLV2Timeout 100SSLV3Timeout 1000SSLClientAuth requiredSSLD
4、isable#-b. 保存上面的配置后重新启动IHS,访问,会弹出客户端验证的提示窗口。点击确定后可以访问到IHS的首页。第二部分为WAS配置基于SSL证书的客户端认证将证书导入浏览器的步骤和第一部分中相似,这里不再重复。1在WAS管理控制台的 安全SSL 里定义一个新的JSSE存储库,注意勾选上“客户端认证”。2把客户端证书的CA根证书导入到新创建的jks信任库里(在本例中把testcert.arm导入WC_Key.jks)。3在 服务器应用服务器服务器名称 下面的“web容器传输链”配置里,为SSL入站通道配置使用刚才创建的JSSE定义。4保存配置后,需要重启应用程序服务器(如果是ND环境
5、,需要重启整个环境)。使用WAS自带的DefaultApplication进行测试:在浏览器里输入url:, 会看到客户端验证提示窗口,确定后可以看到snoop的页面。在snoop页面的“HTTPS Information”部分,可以看到客户端证书的信息,说明已经正确使用了配置的证书进行ssl握手。第三部分 配置plug-in插件和WAS内嵌web容器之间的ssl通信为了是plug-in插件和web容器实现基于SSL的安全通信,需要交换web容器传输链WCInboundDefaultSecure的SSL_2入站通道所使用的密钥库与plug-in插件使用的密钥库的签署者证书。打开plug-in插
6、件的密钥库文件(默认在plugin安装目录的etc路径下,具体可以查看plugin-cfg.xml里面的设置:):抽取个人证书(公钥),保存成文件:3将web容器传输链WCInboundDefaultSecure使用的密钥库的公钥(第一部分第2步抽取出来的个人证书)导入到plug-in插件的密钥库里:4类似的,把抽取出的plug-in插件的公钥(个人证书)导入到web容器传输链使用的密钥库里:5为了使plug-in与web容器使用基于SSL的HTTPS协议通信,手动更改插件配置文件plugin-cfg.xml,把http的内容注释掉,只剩下使用https协议的9443端口:6重启IHS,加载新
7、的插件配置,使用 进行测试。根据提示选择正确的证书:确认弹出的窗口提示:snoop页面的“Request Information”里能够看到请求从前端的443端口发来,本地端口是9443,说明web容器和plug-in之间已经通过HTTPS协议通信;在“Request headers”和“HTTPS Information”里,能够看到原始的请求头信息和客户端的证书信息。总结:本文以自签署证书为例,在第一部分和第二部分中分别介绍了在IBM Http Server,客户端浏览器,以及WebSphere Application Server上配置基于ssl证书的客户端认证的方法。几个重要的设置包括
8、:在httpd.conf里配置“SSLClientAuth required”;在定义新的JSSE存储库时注意勾选上“客户端认证”;在浏览器端添加密钥库的时候,在证书的“高级”属性配置里,把“证书目的”列表里的“客户端验证”勾选上。在第三部分中,我们把plug-in插件和web容器传输链之前的SSL配置也完成了,这样,从客户端到IHS,再到WAS,他们之间的通信都是基于SSL的安全通信,并且需要进行客户端认证,从而很好的保证了客户端和浏览器之间通信的安全性。实际生产环境中,可能不需要用户手动把证书和密钥库添加到浏览器里(如U盾),各种客户端的具体实现方法已经超出了本文讨论的范畴,如需了解,请参考相关资料。参考资料: WebSphere Application Server V6 Security Handbook24 / 24文档可自由编辑打印