为IBMHttpServer和WAS配置基于SSL证书的客户端认证

内容提要:本文介绍了如何在IBMHttpServer和浏览器端配置基于ssl的客户端证书认证。说明:为IBMHttpServer和WAS配置基于SSL证书的客户端认证第一部分配置IBMHttpServer和浏览器之间的客户端认证为了便于介绍配置的完整过程，本文中使用ikeyman创建密钥库和自签署证书，代替实际生成环境中常见的专业证书颁发机构颁发的证书。如果您拥有现成的个人证书和颁发机构的根证书，则请跳过前2步。1．创建一个PKCS12格式的密钥库，并在这个密钥库中生成一个自签署证书。2．把上一步中创建的自签署证书导出为.arm格式的文件证书文件，本例中命名为。3．为了使客户端和服务器端的ssl握手成功，需要把刚才导出的导入到IHS的密钥库里（实际生产环境中需要把客户端证书的颁发机构的证书添加到IHS的密钥库里）。4．接下来，需要把把证书导入到浏览器里（以IE为例）。 a.在工具－Internet选项－内容－证书里，选择“客户端验证”，“个人”证书，选择“导入”，把密钥库文件导入。 b．将安全级别设置成中级。可以看到证书的具体信息。 c.点击“高级”属性，在“证书目的”列表里勾选上“客户端验证”。5．接下来需要在IHS里进行相应的配置。 a.在IHS的配置文件里添加如下配置，使IHS处理基于ssl的安全请求。其中，“SSLClientAuth”是客户端验证的开关，配置成“required”表示需要客户端认证。#---------------------------------------------------------------------Listen443<VirtualHost*:443>DocumentRoot"C:/ProgramFiles/IBM/HTTPServer60/htdocs/zh_CN"SSLEnableKeyfile"C:/ProgramFiles/IBM/HTTPServer60/ssl/IHSkey.kdb"SSLV2Timeout100SSLV3Timeout1000</VirtualHost>SSLClientAuthrequiredSSLDisable#----------------------------------------------------------------------- b.保存上面的配置后重新启动IHS，访问，会弹出客户端验证的提示窗口。点击确定后可以访问到IHS的首页。第二部分为WAS配置基于SSL证书的客户端认证将证书导入浏览器的步骤和第一部分中相似，这里不再重复。1．在WAS管理控制台的安全－SSL里定义一个新的JSSE存储库，注意勾选上“客户端认证”。2．把客户端证书的CA根证书导入到新创建的jks信任库里（在本例中把导入）。3．在服务器－应用服务器－服务器名称下面的“web容器传输链”配置里，为SSL入站通道配置使用刚才创建的JSSE定义。4．保存配置后，需要重启应用程序服务器（如果是ND环境，需要重启整个环境）。使用WAS自带的DefaultApplication进行测试：在浏览器里输入url：https://localhost:9443/snoop,会看到客户端验证提示窗口，确定后可以看到snoop的页面。在snoop页面的“HTTPSInformation”部分，可以看到客户端证书的信息，说明已经正确使用了配置的证书进行ssl握手。第三部分配置plug-in插件和WAS内嵌web容器之间的ssl通信为了是plug-in插件和web容器实现基于SSL的安全通信，需要交换web容器传输链WCInboundDefaultSecure的SSL_2入站通道所使用的密钥库与plug-in插件使用的密钥库的签署者证书。打开plug-in插件的密钥库文件（默认在plugin安装目录的etc路径下，具体可以查看里面的设置：<PropertyName="keyring"Value="C:\ProgramFiles\IBM\WebSphere\Plugins60\etc\keys\plugin-key.kdb"/>）：抽取个人证书（公钥），保存成文件：3．将web容器传输链WCInboundDefaultSecure使用的密钥库的公钥（第一部分第2步抽取出来的个人证书）导入到plug-in插件的密钥库里：4类似的，把抽取出的plug-in插件的公钥（个人证书）导入到web容器传输链使用的密钥库里：5．为了使plug-in与web容器使用基于SSL的HTTPS协议通信，手动更改插件配置文件，把http的内容注释掉，只剩下使用https协议的9443端口：6．重启IHS，加载新的插件配置，使用https://localhost/snoop进行测试。根据提示选择正确的证书：确认弹出的窗口提示：snoop页面的“RequestInformation”里能够看到请求从前端的443端口发来，本地端口是9443，说明web容器和plug-in之间已经通过HTTPS协议通信；在“Requestheaders”和“HTTPSInformation”里，能够看到原始的请求头信息和客户端的证书信息。总结：本文以自签署证书为例，在第一部分和第二部分中分别介绍了在IBMHttpServer，客户端浏览器，以及WebSphereApplicationServer上配置基于ssl证书的客户端认证的方法。几个重要的设置包括：在里配置“SSLClientAuthrequired”；在定义新的JSSE存储库时注意勾选上“客户端认证”；在浏览器端添加密钥库的时候，在证书的“高级”属性配置里，把“证书目的”列表里的“客户端验证”勾选上。在第三部分中，我们把plug-in插件和web容器传输链之前的SSL配置也完成了，这样，从客户端到IHS，再到WAS，他们之间的通信都是基于SSL的安全通信，并且需要进行客户端认证，从而很好的保证了客户端和浏览器之间通信的安全性。