WAS liberty プロファイルでクライアント認証をオンにして、Web サーバーとアプリ サーバー間の通信が相互 SSL になるようにしたいと考えています。
IHS には、キーリングと stashfile を使用して HTTPS でアプリ サーバーへのトラフィックを FW するプラグイン ファイルがあります。これは機能しており、トラフィックを WLP に FW します。
WLP の server.xml でクライアント認証をオンにして、要素に clientAuthentication="true" を指定することにより、WLP が証明書を認証するように強制します<ssl>。
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthentication="true" />
httpsアドレス(クライアント証明書なし)を使用してブラウザを使用してアプリサーバーに直接アクセスし、アクセスが拒否されることを期待して、これを検証しようとしました。また、アプリ サーバー経由でアプリ サーバーにアクセスするには、相互 SSL が稼働している場合にアクセスを許可する必要があります。ただし、アプリサーバーに直接アクセスするか、Web サーバーを介してアクセスすると、リソースにアクセスできます。
この設定は明らかに正しくないか、完全ではありません。何かご意見は?