客户端证书访问websphere portal.pdf

软件版本信息： Windows 2003 Enterprise Edition （已安装IIS,AD,证书服务） WebSphere Portal 6.0 （已配置使用Windows 2003 AD ） 步骤： 1，使用ikeyman 生成keytable ，证书请求。 2 ，使用MS 2003 证书服务颁发证书，并将颁发的证书接受到keytable 里面。并将根证书加 到keytable 的签署人证书store 里面。 3，配置WAS ，以使用该keytable 。 4 ，创建客户端用户证书。 5，在WAS 管理控制台，导出wps 整个应用包。 6，修改导出的wps.ear 包。（LOING-CONFIG ） 7 ，使用已修改过的wps.ear 更新wps 应用。 8，访问。OK! 首先，去到WAS_HOME/AppServer/bin ，运行ikeyman 创建新的KEY TABLE 文件 设定KEY TABLE 的访问密码 将缺省的签署人证书列表清空 （安全原因） 新建证书请求，特别注意CN 要设成SERVER 的完整主机名。 来到MS 证书服务的首页 申请证书 高级证书申请 选择第2 个：使用BASE64 编码的CMC 或PKCS #10 文件提交证书申请，或使用BASE64 编码的PKCS #7 文件续订证书申请 打开之前生成的证书申请文件 COPY PASTE 下载证书 保存 在ikeyman 里面把刚才那个证书接受进来 注意，下拉框要选择 “个人证书” 点“接受” 回到证书服务首页 下载证书 将根证书添加到 “签署人证书”列表 标号无所谓，随便写。主要让自己好识别 启动Portal 访问WAS ADMIN CONSOLE :10039/ibm/console/logon.jsp 新建JSSE 指令表 注意勾上 “客户机认证”，表明是双向SSL 认证。 KEY TABLE 文件名，访问密码等。 因为我们把个人证书和签署人证书都放在一个 KEY TABLE 里面，所以指定的是同一个文 件。 打开WebSphere_Portal 的WEB 容器传输链 修改WCInboundDefaultSecure 中的SSL 入站通道设置，以使用我们新创建的JSSE 指令表。 导出WPS 应用 使用解压缩工具，直接修改wps.ear 里面的文件。这里使用的是7-zip 。 修改wps.ear/wps.war/WEB-INF/web.xml 注意上面transport-guarantee 设为了CONFIDENTIAL 。表明，就算是通过非SSL 通道进来 的访问，都强制需要转成https 。比如10038 是普通HTTP 访问端口，10035 是HTTPS 访问 端口，加了这个设置后，通过10038 访问，也会自动转到10035。 客户端使用数字证书认证。(CLIENT-CERT) 更新WPS 应用。 申请客户端用户证书。 在WINDOWS 2003 里面，你想为什么用户申请证书，需要以那个用户登录，然后访问证书 服务。 比如，整个时候是以wpsadmin 登录进来的。 申请到的证书就是标识为wpsadmin 的证书。 可以先在IE 里面查看一下刚才生成的证书 注意使用者的详细信息，是否与AD 匹配。 重启PORTAL，访问:10038/wps/myportal 注意： 1，因为我们设置了transport-guarantee ，所以可以直接通过10038 访问，否则我们必须访问 :10035/wps/myportal 2 ，一定要访问/wps/myportal ，不是/wps/portal 。这一点，我们可以看之前修改的web.xml 文 件。访问/wps/myportal 时，系统会要求我们具有一定角色才能访问，所以系统会要求认证。 浏览器弹出一个框，让我们选择我们想使用的客户端数字证书。 成功，显示登录进PORTAL 的欢迎页面。