-1

我想在 WAS 自由配置文件上打开客户端身份验证,以便 Web 服务器和应用程序服务器之间的通信采用相互 SSL。

在 IHS 上,我有一个插件文件,用于通过密钥环和存储文件以 HTTPS 将流量转发到应用服务器。它正在工作并将流量转发到 WLP。

在 WLP 的 server.xml 中,我打开客户端身份验证以通过在<ssl>元素中提供 clientAuthentication="true" 来强制 WLP 对证书进行身份验证。

<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />

我尝试通过使用带有 https 地址(没有任何客户端证书)的浏览器直接访问应用服务器来验证这一点,并且预计会被拒绝访问。如果相互 SSL 已启动并正在运行,则通过应用服务器访问应用服务器应授予访问权限。但是,无论是直接访问应用服务器还是通过 Web 服务器,我都可以访问该资源。

这种设置显然不正确或不完整。有什么想法吗?

4

1 回答 1

0

我已经解决了。我错过的是<sslOptionRef id="defaultSSLConfig" />内部<httpEndpoint>。我的印象是它会自动获取我在 server.xml 中定义的 olny one<ssl>元素。但是如果没有 sslOptionRef,客户端身份验证将无法正常工作并且不会对客户端进行身份验证。

现在<sslOptionRef>在 server.xml 中定义,客户端身份验证工作正常,我只能通过我的 Web 服务器在我的浏览器中以 https 访问 WLP 应用程序服务器。

于 2016-02-26T15:16:09.833 回答