为IBM Http Server 与 WAS配置基于SSL证书的客户端认证.docVIP

为IBM Http Server 和 WAS配置基于SSL证书的客户端认证 内容提要: 本文介绍了如何在IBM Http Server和浏览器端配置基于ssl的客户端证书认证。 说明: 为IBM Http Server 和 WAS配置基于SSL证书的客户端认证 第一部分 配置IBM Http Server和浏览器之间的客户端认证 为了便于介绍配置的完整过程，本文中使用ikeyman创建密钥库和自签署证书，代替实际生成环境中常见的专业证书颁发机构颁发的证书。如果您拥有现成的个人证书和颁发机构的根证书，则请跳过前2步。 1．创建一个PKCS12格式的密钥库testKey.p12，并在这个密钥库中生成一个自签署证书。 2．把上一步中创建的自签署证书导出为.arm格式的文件证书文件，本例中命名为testcert.arm。 3．为了使客户端和服务器端的ssl握手成功，需要把刚才导出的testcert.arm导入到IHS的密钥库IHSKey.kdb里（实际生产环境中需要把客户端证书的颁发机构的证书添加到IHS的密钥库里）。 4．接下来，需要把把证书导入到浏览器里（以IE为例）。 a. 在 工具－Internet选项－内容－证书 里，选择“客户端验证”，“个人”证书，选择“导入”，把密钥库文件testKey.p12导入。 b． 将安全级别设置成中级。 可以看到证书的具体信息。 c. 点击“高级”属性，在“证书目的”列表里勾选上“客户端验证”。 5．接下来需要在IHS里进行相应的配置。 a. 在IHS的配置文件httpd.conf里添加如下配置，使IHS处理基于ssl的安全请求。其中，“SSLClientAuth”是客户端验证的开关，配置成“required”表示需要客户端认证。 #--------------------------------------------------------------------- LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 VirtualHost *:443 ServerName DocumentRoot C:/Program Files/IBM/HTTPServer60/htdocs/zh_CN SSLEnable Keyfile C:/Program Files/IBM/HTTPServer60/ssl/IHSkey.kdb SSLV2Timeout 100 SSLV3Timeout 1000 /VirtualHost SSLClientAuth required SSLDisable #----------------------------------------------------------------------- b. 保存上面的配置后重新启动IHS，访问https://localhost，会弹出客户端验证的提示窗口。 点击确定后可以访问到IHS的首页。 第二部分 为WAS配置基于SSL证书的客户端认证 将证书导入浏览器的步骤和第一部分中相似，这里不再重复。 1．在WAS管理控制台的 安全－SSL 里定义一个新的JSSE存储库，注意勾选上“客户端认证”。 2．把客户端证书的CA根证书导入到新创建的jks信任库里（在本例中把testcert.arm导入WC_Key.jks）。 3．在 服务器－应用服务器－服务器名称 下面的“web容器传输链”配置里，为SSL入站通道配置使用刚才创建的JSSE定义。 4．保存配置后，需要重启应用程序服务器（如果是ND环境，需要重启整个环境）。使用WAS自带的DefaultApplication进行测试： 在浏览器里输入url：https://localhost:9443/snoop, 会看到客户端验证提示窗口，确定后可以看到snoop的页面。 在snoop页面的“HTTPS Information”部分，可以看到客户端证书的信息，说明已经正确使用了配置的证书进行ssl握手。 第三部分 配置plug-in插件和WAS内嵌web容器之间的ssl通信 为了是plug-in插件和web容器实现基于SSL的安全通信，需要交换web容器传输链WCInboundDefaultSecure的SSL_2入站通道所使用的密钥库与plug-in插件使用的密钥库的签署者证书。 打开plug-in插件的密钥库文件（默认在plugin安装目录的etc路径下，具体可以查看plugin-cfg.xml里面的设置：Property Name=keyring Value=C:\Program Files\IBM\WebSphere\Plugins60\etc\keys\plugin-key.