為IBMHttpServer和WAS配置基于SSL證書的客戶端認證

內容提要:本文介紹了如何在IBMHttpServer和瀏覽器端配置基于ssl的客戶端證書認證。說明:為IBMHttpServer和WAS配置基于SSL證書的客戶端認證第一部分配置IBMHttpServer和瀏覽器之間的客戶端認證為了便于介紹配置的完整過程，本文中使用ikeyman創(chuàng)建密鑰庫和自簽署證書，代替實際生成環(huán)境中常見的專業(yè)證書頒發(fā)機構頒發(fā)的證書。如果您擁有現(xiàn)成的個人證書和頒發(fā)機構的根證書，則請?zhí)^前2步。1．創(chuàng)建一個PKCS12格式的密鑰庫，并在這個密鑰庫中生成一個自簽署證書。2．把上一步中創(chuàng)建的自簽署證書導出為.arm格式的文件證書文件，本例中命名為。3．為了使客戶端和服務器端的ssl握手成功，需要把剛才導出的導入到IHS的密鑰庫里（實際生產(chǎn)環(huán)境中需要把客戶端證書的頒發(fā)機構的證書添加到IHS的密鑰庫里）。4．接下來，需要把把證書導入到瀏覽器里（以IE為例）。 a.在工具－Internet選項－內容－證書里，選擇“客戶端驗證”，“個人”證書，選擇“導入”，把密鑰庫文件導入。 b．將安全級別設置成中級?？梢钥吹阶C書的具體信息。 c.點擊“高級”屬性，在“證書目的”列表里勾選上“客戶端驗證”。5．接下來需要在IHS里進行相應的配置。 a.在IHS的配置文件里添加如下配置，使IHS處理基于ssl的安全請求。其中，“SSLClientAuth”是客戶端驗證的開關，配置成“required”表示需要客戶端認證。#---------------------------------------------------------------------Listen443<VirtualHost*:443>DocumentRoot"C:/ProgramFiles/IBM/HTTPServer60/htdocs/zh_CN"SSLEnableKeyfile"C:/ProgramFiles/IBM/HTTPServer60/ssl/IHSkey.kdb"SSLV2Timeout100SSLV3Timeout1000</VirtualHost>SSLClientAuthrequiredSSLDisable#----------------------------------------------------------------------- b.保存上面的配置后重新啟動IHS，訪問，會彈出客戶端驗證的提示窗口。點擊確定后可以訪問到IHS的首頁。第二部分為WAS配置基于SSL證書的客戶端認證將證書導入瀏覽器的步驟和第一部分中相似，這里不再重復。1．在WAS管理控制臺的安全－SSL里定義一個新的JSSE存儲庫，注意勾選上“客戶端認證”。2．把客戶端證書的CA根證書導入到新創(chuàng)建的jks信任庫里（在本例中把導入）。3．在服務器－應用服務器－服務器名稱下面的“web容器傳輸鏈”配置里，為SSL入站通道配置使用剛才創(chuàng)建的JSSE定義。4．保存配置后，需要重啟應用程序服務器（如果是ND環(huán)境，需要重啟整個環(huán)境）。使用WAS自帶的DefaultApplication進行測試：在瀏覽器里輸入url：https://localhost:9443/snoop,會看到客戶端驗證提示窗口，確定后可以看到snoop的頁面。在snoop頁面的“HTTPSInformation”部分，可以看到客戶端證書的信息，說明已經(jīng)正確使用了配置的證書進行ssl握手。第三部分配置plug-in插件和WAS內嵌web容器之間的ssl通信為了是plug-in插件和web容器實現(xiàn)基于SSL的安全通信，需要交換web容器傳輸鏈WCInboundDefaultSecure的SSL_2入站通道所使用的密鑰庫與plug-in插件使用的密鑰庫的簽署者證書。打開plug-in插件的密鑰庫文件（默認在plugin安裝目錄的etc路徑下，具體可以查看里面的設置：<PropertyName="keyring"Value="C:\ProgramFiles\IBM\WebSphere\Plugins60\etc\keys\plugin-key.kdb"/>）：抽取個人證書（公鑰），保存成文件：3．將web容器傳輸鏈WCInboundDefaultSecure使用的密鑰庫的公鑰（第一部分第2步抽取出來的個人證書）導入到plug-in插件的密鑰庫里：4類似的，把抽取出的plug-in插件的公鑰（個人證書）導入到web容器傳輸鏈使用的密鑰庫里：5．為了使plug-in與web容器使用基于SSL的HTTPS協(xié)議通信，手動更改插件配置文件，把http的內容注釋掉，只剩下使用https協(xié)議的9443端口：6．重啟IHS，加載新的插件配置，使用https://localhost/snoop進行測試。根據(jù)提示選擇正確的證書：確認彈出的窗口提示：snoop頁面的“RequestInformation”里能夠看到請求從前端的443端口發(fā)來，本地端口是9443，說明web容器和plug-in之間已經(jīng)通過HTTPS協(xié)議通信；在“Requestheaders”和“HTTPSInformation”里，能夠看到原始的請求頭信息和客戶端的證書信息?？偨Y：本文以自簽署證書為例，在第一部分和第二部分中分別介紹了在IBMHttpServer，客戶端瀏覽器，以及WebSphereApplicationServer上配置基于ssl證書的客戶端認證的方法。幾個重要的設置包括：在里配置“SSLClientAuthrequired”；在定義新的JSSE存儲庫時注意勾選上“客戶端認證”；在瀏覽器端添加密鑰庫的時候，在證書的“高級”屬性配置里，把“證書目的”列表里的“客戶端驗證”勾選上。在第三部分中，我們把plug-in插件和web容器傳輸鏈之前的SSL配置也完成了，這樣，從客戶端到IHS，再到WAS，他們之間的通信都是基于SSL的安全通信，并且需要進行客戶端認證，從而很好的保證了客戶端和瀏覽器之間通信的安全性。