Sun ONE Application Server 开发者指南(14)

类别:Java 点击:0 评论:0 推荐:
 

Web服务设置客户端证书认证

本节讲述了如何配置利用Sun ONE应用服务器使用了客户端证书认证的web服务。

注意

对于客户端,想要使用HTTPS,请执行下面的步骤1-6。

1.  执行"基于SSL的基本认证".一节中的第一和第二步。

2.   对于基于J2SE的客户端,使用keytool为客户端证书生成密码对。密码对存储在密码库中。以下代码行示范了如何生成密码对。

> keytool -genkey -v -alias clcert -dname 'CN=Test User, OU=testOU, O=testO, L=SCA, S=California, C=US'\

   -keystore clcerts -keypass changeit

执行命令,显示出如下信息:

Generating 1,024 bit DSA key pair and self-signed certificate (SHA1WithDSA)

for: CN=Test User, OU=testOU, O=testO, L=SCA, ST=California, C=US

Enter key password for <clcert1>

   (RETURN if same as keystore password):
[Saving clcerts]

3.   Generate a certificate request to be sent to a trusted CA. Use the following keytool command to generate a certificate request:

生成一个将要发送到可信CA的证书请求。使用如下的keytool命令生成证书请求:

>keytool -certreq -v -alias clcert -file clreq -keystore clcerts

输入密码库的密码:changeit

证书请求存储在文件:clreq中

把这个提交给CA

>more clreq

该命令生成以下消息:

-----BEGIN NEW CERTIFICATE REQUEST-----

MIICazCCAigCAQAwZTELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWExDDAKBgNVBAcT
A1NDQTEOMAwGA1UEChMFdGVzdE8xDzANBgNVBAsTBnRlc3RPVTESMBAGA1UEAxMJVGVzdCBVc2Vy

..

GqdqJvx+mVcgcQkdzap+ykIEcOZ/qQq60rPddF6yK9wnWkez32Y2btGWe598oAAwCwYHKoZIzjgE AwUAAzAAMC0CFQCPf7TuJLJ+zS/HH+fCcKnFAtmKYwIUZM10c56KrScgledImxGzLIKMsGE=

-----END NEW CERTIFICATE REQUEST-----

4.   发送生成的证书请求到一个可信的CA并且请求一个签名证书。关于发送请求到CA的更多信息,请参见CA服务器管理文档。

你可以校验Base64 encoded X.509格式的返回签名文档。注意:该证书是链状的,就象由CA进行了签署。如果你使用pkcs7格式,keytool可能会抱怨证书不是X.509格式的。

> keytool -printcert -v -file clcert.txt

Certificate[1]:

Owner: CN=Certificate Manager, OU=AppServices, O=Sun Microsystems, L=SCA, ST=Californa, C=US

Issuer: CN=Certificate Manager, OU=AppServices, O=Sun Microsystems, L=SCA, ST=Califoria, C=US

Serial number: 1

Valid from: Mon Jun 03 12:00:00 PDT 2002 until: Thu Jun 03 12:00:00 PDT 2004

Certificate fingerprints:

MD5: 6C:8D:A6:E4:55:52:1A:FF:9D:19:44:D7:0F:62:66:95
SHA1: 89:B1:0E:7E:8F:56:B2:34:65:46:15:86:53:7E:3E:6B:4F:9D:84:63

Certificate[2]:
Owner: CN=Test User, OU=testOU, O=testO, L=SCA, ST=California, C=US
Issuer: CN=Certificate Manager, OU=iWSQA, O=Sun Microsystems, L=SCA, ST=Califoria, C=US

Serial number: 19

Valid from: Thu Sep 12 18:33:54 PDT 2002 until: Fri Sep 12 18:33:54 PDT 2003

Certificate fingerprints:

MD5: 82:09:8A:DC:E2:85:82:B5:56:98:93:81:97:A9:D5:32
SHA1: 1D:7C:F2:F2:ED:79:A3:62:0A:A2:1B:22:74:11:BF:52:CB:8D:9E:BB

5.   用签名证书更新密码库。

> keytool -import -v -trustcacerts -alias clcert -file clcert.txt -keystore clcerts -keypass changeit

显示如下信息:

Certificate was added to keystore

[Saving clcerts]

6.   现在,你必须设置客户端Java虚拟机使用这样的密码库/密码:-Djavax.net.ssl.keyStore=<path-to/clcerts> and -Djavax.net.ssl.keyStorePassword.

如果你在<java>这个ant任务中运行客户端,你可以使用<sysproperty>元素指定密码库/密码。

例如:

<sysproperty key="javax.net.ssl.keyStore"

value="C:/security/clcerts"/>

<sysproperty key="javax.net.ssl.keyStorePassword" value="changeit"/>

7.  为服务器实例激活证书域。

在管理界面中,选择左侧面板中的server instance. 点击Security节点并选中Default Realm to Certificate。

关于激活证书域的更多信息,请参见Sun ONE应用服务器管理员指南。

8.  编辑web.xml配置描述文件,配置Web服务应用程序使用CLIENT-CERT认证。

security-constraint>

<web-resource-collection>

      <web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>

</web-resource-collection>
<auth-constraint>

         <role-name>TesterRole</role-name>

</auth-constraint>

</security-constraint>

<login-config>

<auth-method> CLIENT-CERT </auth-method>

</login-config>

9.  编辑Sun ONE应用服务器指定的部署描述文件(sun-web.xml),映射角色到客户端证书的X.509 主用户名称的专有名称。

注释:DN distinguished name专有名称

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE sun-web-app PUBLIC '-//Sun Microsystems, Inc.//DTD Sun ONE Application Server 7.0 Servlet 2.3//EN'

'http://www.sun.com/software/sunone/appserver/dtds/sun-web-app_2_3-0.dtd'

<sun-web-ap>

<security-role-mapping>

<role-name>TesterRole</role-name>

<principal-name>CN=Test User, OU=testOU, O=testO, L=SCA, ST=California, C=US</principal-name>

</security-role-mapping>

</sun-web-app>

10.或者,你可能想要设置一个可选的assign-groups属性,它可以被指定给所有证书用户所属的证书域配置。这使你可以向这个组名进行角色映射,而不必列出主用户名称的专有名称。

在管理界面中,选择左侧面板中的server instance 点击并展开Security节点和Realms节点 点击certificate realm,并且在右侧面板中点击properties link,添加属性names cert-users,设定它的值为assign-groups。 保存并使修改生效。server.xml反映了配置设定:

<security-service>
<auth-realm name="certificate" classname="com.iplanet.ias.security.auth.realm.certificate .CertificateRealm">
<property value="cert-users" name="assign-groups"/>
</auth-realm>
</security-service>

关于配置证书域的更多信息,请参见Sun ONE应用服务器管理员指南。

11.   重新启动服务器并运行客户端检验客户端证书认证的工作情况。

本文地址:http://com.8s8s.com/it/it16923.htm