為IBMHttpServer和WAS配置基于SSL證書的客戶端認(rèn)證

內(nèi)容提要:本文介紹了如何在IBMHttpServer和瀏覽器端配置基于ssl的客戶端證書認(rèn)證。說明:為IBMHttpServer和WAS配置基于SSL證書的客戶端認(rèn)證第一部分配置IBMHttpServer和瀏覽器之間的客戶端認(rèn)證為了便于介紹配置的完整過程，本文中使用ikeyman創(chuàng)建密鑰庫和自簽署證書，代替實(shí)際生成環(huán)境中常見的專業(yè)證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書。如果您擁有現(xiàn)成的個人證書和頒發(fā)機(jī)構(gòu)的根證書，則請?zhí)^前2步。1．創(chuàng)建一個PKCS12格式的密鑰庫，并在這個密鑰庫中生成一個自簽署證書。2．把上一步中創(chuàng)建的自簽署證書導(dǎo)出為.arm格式的文件證書文件，本例中命名為。3．為了使客戶端和服務(wù)器端的ssl握手成功，需要把剛才導(dǎo)出的導(dǎo)入到IHS的密鑰庫里（實(shí)際生產(chǎn)環(huán)境中需要把客戶端證書的頒發(fā)機(jī)構(gòu)的證書添加到IHS的密鑰庫里）。4．接下來，需要把把證書導(dǎo)入到瀏覽器里（以IE為例）。 a.在工具－Internet選項(xiàng)－內(nèi)容－證書里，選擇“客戶端驗(yàn)證”，“個人”證書，選擇“導(dǎo)入”，把密鑰庫文件導(dǎo)入。 b．將安全級別設(shè)置成中級。可以看到證書的具體信息。 c.點(diǎn)擊“高級”屬性，在“證書目的”列表里勾選上“客戶端驗(yàn)證”。5．接下來需要在IHS里進(jìn)行相應(yīng)的配置。 a.在IHS的配置文件里添加如下配置，使IHS處理基于ssl的安全請求。其中，“SSLClientAuth”是客戶端驗(yàn)證的開關(guān)，配置成“required”表示需要客戶端認(rèn)證。#---------------------------------------------------------------------Listen443<VirtualHost*:443>DocumentRoot"C:/ProgramFiles/IBM/HTTPServer60/htdocs/zh_CN"SSLEnableKeyfile"C:/ProgramFiles/IBM/HTTPServer60/ssl/IHSkey.kdb"SSLV2Timeout100SSLV3Timeout1000</VirtualHost>SSLClientAuthrequiredSSLDisable#----------------------------------------------------------------------- b.保存上面的配置后重新啟動IHS，訪問，會彈出客戶端驗(yàn)證的提示窗口。點(diǎn)擊確定后可以訪問到IHS的首頁。第二部分為WAS配置基于SSL證書的客戶端認(rèn)證將證書導(dǎo)入瀏覽器的步驟和第一部分中相似，這里不再重復(fù)。1．在WAS管理控制臺的安全－SSL里定義一個新的JSSE存儲庫，注意勾選上“客戶端認(rèn)證”。2．把客戶端證書的CA根證書導(dǎo)入到新創(chuàng)建的jks信任庫里（在本例中把導(dǎo)入）。3．在服務(wù)器－應(yīng)用服務(wù)器－服務(wù)器名稱下面的“web容器傳輸鏈”配置里，為SSL入站通道配置使用剛才創(chuàng)建的JSSE定義。4．保存配置后，需要重啟應(yīng)用程序服務(wù)器（如果是ND環(huán)境，需要重啟整個環(huán)境）。使用WAS自帶的DefaultApplication進(jìn)行測試：在瀏覽器里輸入url：https://localhost:9443/snoop,會看到客戶端驗(yàn)證提示窗口，確定后可以看到snoop的頁面。在snoop頁面的“HTTPSInformation”部分，可以看到客戶端證書的信息，說明已經(jīng)正確使用了配置的證書進(jìn)行ssl握手。第三部分配置plug-in插件和WAS內(nèi)嵌web容器之間的ssl通信為了是plug-in插件和web容器實(shí)現(xiàn)基于SSL的安全通信，需要交換web容器傳輸鏈WCInboundDefaultSecure的SSL_2入站通道所使用的密鑰庫與plug-in插件使用的密鑰庫的簽署者證書。打開plug-in插件的密鑰庫文件（默認(rèn)在plugin安裝目錄的etc路徑下，具體可以查看里面的設(shè)置：<PropertyName="keyring"Value="C:\ProgramFiles\IBM\WebSphere\Plugins60\etc\keys\plugin-key.kdb"/>）：抽取個人證書（公鑰），保存成文件：3．將web容器傳輸鏈WCInboundDefaultSecure使用的密鑰庫的公鑰（第一部分第2步抽取出來的個人證書）導(dǎo)入到plug-in插件的密鑰庫里：4類似的，把抽取出的plug-in插件的公鑰（個人證書）導(dǎo)入到web容器傳輸鏈?zhǔn)褂玫拿荑€庫里：5．為了使plug-in與web容器使用基于SSL的HTTPS協(xié)議通信，手動更改插件配置文件，把http的內(nèi)容注釋掉，只剩下使用https協(xié)議的9443端口：6．重啟IHS，加載新的插件配置，使用https://localhost/snoop進(jìn)行測試。根據(jù)提示選擇正確的證書：確認(rèn)彈出的窗口提示：snoop頁面的“RequestInformation”里能夠看到請求從前端的443端口發(fā)來，本地端口是9443，說明web容器和plug-in之間已經(jīng)通過HTTPS協(xié)議通信；在“Requestheaders”和“HTTPSInformation”里，能夠看到原始的請求頭信息和客戶端的證書信息。總結(jié)：本文以自簽署證書為例，在第一部分和第二部分中分別介紹了在IBMHttpServer，客戶端瀏覽器，以及WebSphereApplicationServer上配置基于ssl證書的客戶端認(rèn)證的方法。幾個重要的設(shè)置包括：在里配置“SSLClientAuthrequired”；在定義新的JSSE存儲庫時注意勾選上“客戶端認(rèn)證”；在瀏覽器端添加密鑰庫的時候，在證書的“高級”屬性配置里，把“證書目的”列表里的“客戶端驗(yàn)證”勾選上。在第三部分中，我們把plug-in插件和web容器傳輸鏈之前的SSL配置也完成了，這樣，從客戶端到IHS，再到WAS，他們之間的通信都是基于SSL的安全通信，并且需要進(jìn)行客戶端認(rèn)證，從而很好的保證了客戶端和瀏覽器之間通信的安全性。