为和配置基于证书的客户端认证.doc

为IBM Http Server 和 WAS配置基于SSL证书的客户端认证内容提要:本文介绍了如何在IBM Http Server和浏览器端配置基于ssl的客户端证书认证。说明:为IBM Http Server 和 WAS配置基于SSL证书的客户端认证第一部分配置IBM Http Server和浏览器之间的客户端认证为了便于介绍配置的完整过程，本文中使用ikeyman创建密钥库和自签署证书，代替实际生成环境中常见的专业证书颁发机构颁发的证书。如果您拥有现成的个人证书和颁发机构的根证书，则请跳过前2步。1创建一个PKCS12格式的密钥库testKey.p12，并在这个密钥库中生成一个自签署证书。2把上一步中创建的自签署证书导出为.arm格式的文件证书文件，本例中命名为testcert.arm。3为了使客户端和服务器端的ssl握手成功，需要把刚才导出的testcert.arm导入到IHS的密钥库IHSKey.kdb里（实际生产环境中需要把客户端证书的颁发机构的证书添加到IHS的密钥库里）。4接下来，需要把把证书导入到浏览器里（以IE为例）。a. 在 工具Internet选项内容证书 里，选择“客户端验证”，“个人”证书，选择“导入”，把密钥库文件testKey.p12导入。b 将安全级别设置成中级。可以看到证书的具体信息。c. 点击“高级”属性，在“证书目的”列表里勾选上“客户端验证”。5接下来需要在IHS里进行相应的配置。a. 在IHS的配置文件httpd.conf里添加如下配置，使IHS处理基于ssl的安全请求。其中，“SSLClientAuth”是客户端验证的开关，配置成“required”表示需要客户端认证。#-LoadModule ibm_ssl_module modules/mod_ibm_ssl.soListen 443ServerName DocumentRoot C:/Program Files/IBM/HTTPServer60/htdocs/zh_CNSSLEnableKeyfile C:/Program Files/IBM/HTTPServer60/ssl/IHSkey.kdbSSLV2Timeout 100SSLV3Timeout 1000SSLClientAuth requiredSSLDisable#-b. 保存上面的配置后重新启动IHS，访问https:/localhost，会弹出客户端验证的提示窗口。点击确定后可以访问到IHS的首页。第二部分为WAS配置基于SSL证书的客户端认证将证书导入浏览器的步骤和第一部分中相似，这里不再重复。1在WAS管理控制台的 安全SSL 里定义一个新的JSSE存储库，注意勾选上“客户端认证”。2把客户端证书的CA根证书导入到新创建的jks信任库里（在本例中把testcert.arm导入WC_Key.jks）。3在 服务器应用服务器服务器名称 下面的“web容器传输链”配置里，为SSL入站通道配置使用刚才创建的JSSE定义。4保存配置后，需要重启应用程序服务器（如果是ND环境，需要重启整个环境）。使用WAS自带的DefaultApplication进行测试：在浏览器里输入url：https:/localhost:9443/snoop, 会看到客户端验证提示窗口，确定后可以看到snoop的页面。在snoop页面的“HTTPS Information”部分，可以看到客户端证书的信息，说明已经正确使用了配置的证书进行ssl握手。第三部分 配置plug-in插件和WAS内嵌web容器之间的ssl通信为了是plug-in插件和web容器实现基于SSL的安全通信，需要交换web容器传输链WCInboundDefaultSecure的SSL_2入站通道所使用的密钥库与plug-in插件使用的密钥库的签署者证书。打开plug-in插件的密钥库文件（默认在plugin安装目录的etc路径下，具体可以查看plugin-cfg.xml里面的设置：）：抽取个人证书（公钥），保存成文件：3将web容器传输链WCInboundDefaultSecure使用的密钥库的公钥（第一部分第2步抽取出来的个人证书）导入到plug-in插件的密钥库里：4类似的，把抽取出的plug-in插件的公钥（个人证书）导入到web容器传输链使用的密钥库里：5为了使plug-in与web容器使用基于SSL的HTTPS协议通信，手动更改插件配置文件plugin-cfg.xml，把http的内容注释掉，只剩下使用https协议的9443端口：6重启IHS，加载新的插件配置，使用 https:/localhost/snoop 进行测试。根据提示选择正确的证书：确认弹出的窗口提示：snoop页面的“Request Information”里能够看到请求从前端的443端口发来，本地端口是9443，说明web容器和plug-in之间已经通过HTTPS协议通信；在“Request headers”和“HTTPS Information”里，能够看到原始的请求头信息和客户端的证书信息。总结：本文以自签署证书为例，在第一部分和第二部分中分别介绍了在IBM Http Server，客户端浏览器，以及WebSphere Application Server上配置基于ssl证书的客户端认证的方法。几个重要的设置包括：在httpd.conf里配置“SSLClientAuth required”；在定义新的JSSE存储库时注意勾选上“客户端认证”；在浏览器端添加密钥库的时候，在证书的“高级”属性配置里，把“证书目的”列表里的“客户端验证”勾选上。在第三部分中，我们把plug-in插件和web容器传输链之前的SSL配置也完成了，这样，从客户端到IHS，再到WAS，他们之间的通信都是基于SSL的安全通信，并且需要进行客户端认证，从而很好的保证了客户端和浏览器之间通信的安全性。