我有几个需要使用 X509 证书的相互身份验证来保护的 java servlet。我使用这里的信息来实现相互身份验证,它在我的机器上运行良好。
现在我们的集成环境有 BigIP 用于负载平衡到 weblogic 的流量。SSL 在 BigIP 处终止,它使用内部证书而不是使用原始 https 请求获得的客户端证书将 https 请求转发到 weblogic。所以相互身份验证不起作用。
BigIP 团队说他们可以将客户端的证书放在 HTTP 标头(SSL_CLIENT_CERT)中,我不确定如何配置 weblogic 以从 http 标头读取客户端的证书。
我是否需要编写自定义身份断言提供程序并在 weblogic 中对其进行配置?这是最好的方法还是我有其他选择?
非常感谢您对此的任何帮助!
如果您使用两种方式 ssl 验证客户端身份,则需要配置身份断言器
并使用它来限制对应用程序的访问。如果您使用带有签名 CA(Verisign 等)的两种方式 ssl
将仅用于信任 - 不用于身份验证或任何类型的应用程序访问限制。
检查下面的链接以获取上面的详细说明
http://www.oracle.com/technetwork/articles/damo-howto-091164.html。
您可以按照您的步骤为 weblogic 服务器配置 X509 证书身份验证。
除了以上内容,您还需要按照以下步骤操作
1) 确保 BIG IP 处理可以在 BiG IP 的 HTTPS 监视器中配置的客户端证书和客户端密钥。
2) 配置 BIG-IP 以在每个请求中插入一个名为 WL-Proxy-SSL: 的标头,其值为 true。
3)启用weblogic代理插件选项卡
AdminConsole —> 服务器 —> [Your_Server_Name] —> 配置 [Tab] —> 常规 [Sub-Tab]
上述更改将有助于了解来自 BIG IP 的请求最初启用了 SSL 的 weblogic。
检查以下链接以使用 BIGIP 配置 WL-Proxy-SSL
https://support.f5.com/kb/en-us/solutions/public/4000/400/sol4443.html?sr=10058313