我有几个 java servlet 需要使用 X509 证书的相互身份验证来保护它们。我使用来自here 的信息 实现相互身份验证,它在我的机器上运行良好。
现在我们的集成环境有 BigIP 用于负载平衡到 weblogic 的流量。 SSL 在 BigIP 处终止,它使用内部证书而不是使用原始 https 请求获得的客户端证书将 https 请求转发到 weblogic。所以相互身份验证不起作用。
BigIP 团队说他们可以将客户端的证书放在 HTTP 标头 (SSL_CLIENT_CERT) 中,我不确定如何配置 weblogic 以从 http 标头读取客户端的证书。
我是否需要编写自定义身份断言提供程序并在 weblogic 中进行配置?这是最好的方法还是我有其他选择?
非常感谢任何帮助!
【问题讨论】:
标签: java ssl weblogic mutual-authentication
如果您使用两种方式的 ssl 来验证客户端身份,则需要配置身份断言器
并使用它来限制对应用程序的访问。如果您使用带有签名 CA(Verisign 等)的两种方式 ssl
将仅用于信任 - 不用于身份验证或任何类型的应用程序访问限制。
查看下面的链接以了解上面的详细说明
http://www.oracle.com/technetwork/articles/damo-howto-091164.html.
您可以按照您的步骤为 weblogic 服务器配置 X509 证书身份验证。
除此之外,您还需要按照以下步骤进行操作
1) 确保 BIG IP 处理可以在 BiG IP 的 HTTPS 监视器中配置的客户端证书和客户端密钥。
2) 配置 BIG-IP 以在每个请求中插入一个名为 WL-Proxy-SSL: 的标头,其值为 true。
3) 在
中启用 weblogic 代理插件选项卡AdminConsole —> 服务器 —> [Your_Server_Name] —> 配置 [Tab] —> 常规 [子选项卡]
以上更改将有助于了解来自 BIG IP 的请求最初启用了 SSL 的 weblogic。
查看以下链接以使用 BIGIP 配置 WL-Proxy-SSL
https://support.f5.com/kb/en-us/solutions/public/4000/400/sol4443.html?sr=10058313
【讨论】: