0

我们有一个在 WAS 8.5 服务器中运行的应用程序。该应用程序有两个外部服务调用,涉及 2 个不同的第三方系统,其中一个服务(Service2/Server2)需要客户端身份验证。

请参阅图表以供参考。

Server2 <-- Client --> Server1 握手图

对于 Server1,我们与他们共享了一个客户端证书,并且握手非常完美。

对于不需要客户端身份验证的 Server2,在握手期间失败。我们可以发现,在握手期间,服务器尝试对客户端进行身份验证(假设客户端身份验证在 Server2上受支持,但不是必需的)。由于客户端密钥库具有客户端证书,因此它被用于握手过程,该过程失败,因为该客户端证书不存在于 Server2 信任库中。

我的问题是,即使服务器支持客户端身份验证,是否可以不将客户端证书发送到 Server2。

希望这个问题可以理解。

注意 1我们对 Server1 或 Server2 没有任何控制权,我们不希望这些第三方服务进行任何更改以使其正常工作。

注意 2 :Service2可以在客户端密钥库中没有客户端证书的情况下完美运行。请参考 Serer2-Client SSL Handshaking 的图表,它工作得很好。 Client --> Server2 握手图

期待精通 Websphere SSL 配置的人的帮助。

谢谢你,萨努杰

4

1 回答 1

0

简而言之:

假设您的 2 个外部服务具有不同的 URL,您必须创建 2 个单独的动态出站 SSL 配置(有关详细信息,请参见此处)。需要 CertAuth 的一个将在密钥库中有证书,另一个则没有(您需要 2 个不同的 SSL 配置)。

于 2018-08-21T15:14:04.967 回答