0

X509 証明書を使用した相互認証で保護する必要がある Java サーブレットがいくつかあります。hereの情報を使用して相互認証を実装しましたが、私のマシンでは正常に動作します。

現在、統合環境には、weblogic へのトラフィックをロード バランシングするための BigIP があります。SSL は BigIP で終了し、元の https 要求で取得したクライアントの証明書ではなく、内部証明書を使用して https 要求を weblogic に転送します。したがって、相互認証は機能していません。

BigIP チームは、クライアントの証明書を HTTP ヘッダー (SSL_CLIENT_CERT) に入れることができると言っていますが、http ヘッダーからクライアントの証明書を読み取るように weblogic を構成する方法がわかりません。

カスタム ID アサーション プロバイダを作成して weblogic で構成する必要がありますか? これが最善のアプローチですか、それとも他に選択肢はありますか?

これに関するヘルプは大歓迎です!!

4

1 に答える 1

1

双方向 SSL を使用してクライアント ID を検証する場合は、ID アサーターを構成する必要があります。

アプリケーションへのアクセスを制限するために使用します。署名付き CA (Verisign など) で双方向 ssl を使用している場合は、

信頼のためにのみ使用され、認証やあらゆる種類のアプリケーション アクセス制限には使用されません。

上記の詳細な説明については、以下のリンクを確認してください

http://www.oracle.com/technetwork/articles/damo-howto-091164.html .

weblogic サーバーの X509 証明書認証を構成するための手順に従うことができます。

上記に加えて、以下の手順に従う必要があります

1) BIG IP の HTTPS モニターで構成できるクライアント証明書とクライアント キーを BIG IP が処理することを確認します。

2) WL-Proxy-SSL という名前のヘッダーを挿入するように BIG-IP を構成します。値は true で、各要求に挿入します。

3) で weblogic プロキシ プラグイン タブを有効にします。

AdminConsole —> サーバー —-> [Your_Server_Name] —> 構成 [タブ] —> 一般 [サブタブ]

  • 「高度な」リンクをクリックします
  • このページの「WebLogic Plug-In Enabled」のチェックボックスをオンにします。

上記の変更は、BIG IP からのリクエストが最初に SSL 対応であったという weblogic を理解するのに役立ちます。

BIGIP を使用した WL-Proxy-SSL の設定については、以下のリンクを確認してください。

https://support.f5.com/kb/en-us/solutions/public/4000/400/sol4443.html?sr=10058313

于 2015-06-15T11:06:28.177 に答える