jboss - Jboss と WebSphere の相互認証

Question

私は Jboss 5 と WAS 7 に取り組んでいます。このドキュメント https://community.jboss.org/wiki/SSLSetup/に従って、Jboss で相互認証を介してアプリケーションを実行できました。

上記のドキュメントに従って、Jboss サーバーに注入した server.keystore および server.truststore ファイルを作成し、すべて正常に動作しました。

ここで、WAS で相互認証を介して同じアプリケーションを実行したいと考えています。WAS では、次の場所に移動してトラスト ストアとキーストアを指定します。

セキュリティ > SSL 証明書とキー管理 > SSL 構成 > 新規 > キー ストアと証明書

しかし、そこには .keystore と .truststore に関連するタイプはありません(下のスナップ)。

私の質問 - WAS で使用できる .keystore と .truststore に相当するものは何ですか、またはWAS サーバーでブラウザベースの相互認証を設定する方法は何ですか。WAS 7.0.0.21 を使用しています。

Answer 1

キーストアとトラストストアは、WebSphere では同じ形式です。ファイル形式を選択しますが、これらの形式のいずれかをどちらのストアにも使用できます。

次に、構成を特定のファイルに向けます。

セキュリティ > SSL 証明書とキーの管理 > エンドポイント セキュリティ構成の管理

別の方法として、WebSphere がすでに持っている既存のデフォルト ストアを使用して、それらに証明書を追加する方が簡単でした。

セキュリティ > SSL 証明書とキー管理 > キー ストアと証明書 > CellDefaultKeyStore

またはCellDefaultTrustStoreまたはNodeDefaultKeyStoreなど。

Answer 2

このリンクは、WAS で SSL をセットアップするのに役立ちました。ブラウザベースの相互認証を有効にするために、いくつかの手順を追加する必要がありました。

POC を行う必要があったため、自己署名証明書を使用しています。

理想的なシナリオでは、証明書は認証局によって署名され、認証局の証明書は WAS サーバーのトラスト ストアにインポートされます。

手順は次のとおりです。

1. WAS のデフォルト キーストアとデフォルト トラストストアのパスワードを変更する
2. WAS でクライアント証明書を作成する
3. WAS でサーバー証明書を作成する
4. クライアント証明書を PKCS 形式 (client.p12 など) でエクスポートします。
5. サーバー証明書を PKCS 形式 (server.p12 など) でエクスポートします。
6. クライアント証明書をデフォルトのトラストストアにインポートする
7. サーバー証明書をデフォルトの TrustStore にインポートする

8. WAS で SSL を有効にします。

   私。既定のサーバー証明書エイリアスと既定のクライアント証明書エイリアスの両方に対してサーバー証明書を選択するようにしてください。

   ii. [保護の品質 (QoP)] 設定で、[クライアント認証] を [必須] として選択します。

9. 新しい SSL ポート (9444 など) で Web コンテナー トランスポート チェーンを作成します。
10. 新しく作成した SSL ポートを仮想ホストに追加します。
11. サーバーを再起動します。
12. 手順 4 で作成したクライアント証明書 client.p12 をブラウザにインポートします。