我想在WAS自由配置文件上启用客户端身份验证,以便与Web服务器和应用服务器进行通信,使其处于相互SSL状态。
在IHS上,我有一个插件文件,用于通过密钥环和存储文件来获取HTTPS中应用服务器的流量。它正在为WLP提供流量和速度。
在WLP的server.xml上,我打开客户端身份验证,强制WLP通过给clientAuthentication =&#34; true&#34;来验证证书。在<ssl>元素中。
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
我尝试通过使用带有https地址的浏览器(没有任何客户端证书)直接点击应用服务器来验证这一点,并期望获得访问被拒绝。如果相互SSL已启动并正在运行,则通过应用服务器访问应用服务器应授予访问权限。但是,无论是直接点击应用服务器还是通过Web服务器,我都可以访问该资源。
此设置显然不正确或不完整。有什么想法吗?
答案 0 :(得分:0)
我已经解决了。我错过的是<sslOptionRef id="defaultSSLConfig" />内的<httpEndpoint>。我的印象是它会自动获取我在server.xml中定义的olny <ssl>元素。但是没有sslOptionRef,客户端身份验证在某种程度上不起作用,也不会对客户端进行身份验证。
现在在server.xml中定义了<sslOptionRef>,客户端身份验证工作正常,我只能通过我的浏览器中的Web服务器以https访问WLP应用服务器。