我有几个需要使用X509证书进行相互身份验证的java servlet。我使用了来自here的信息 实现相互身份验证,它在我的机器上运行正常。
现在,我们的集成环境具有BigIP,用于负载平衡到weblogic的流量。 SSL在BigIP处终止,它使用内部证书而不是使用原始https请求获得的客户端证书将https请求转发到weblogic。因此,相互认证不起作用。
BigIP团队表示他们可以将客户端的证书放在HTTP标头(SSL_CLIENT_CERT)中,我不知道如何配置weblogic以从http标头读取客户端的证书。
我是否需要编写自定义Identity断言提供程序并在weblogic中进行配置?这是最好的方法还是我有其他选择?
非常感谢任何帮助!!
答案 0 :(得分:1)
如果您使用双向ssl验证客户端身份,则必须配置身份断言器
并使用它来限制对应用程序的访问。如果你使用带有签名CA(Verisign等)的双向ssl它
仅用于信任 - 不用于身份验证或任何类型的应用程序访问限制。
请查看以下链接,了解上述详细说明
http://www.oracle.com/technetwork/articles/damo-howto-091164.html
您可以按照步骤为weblogic服务器配置X509证书身份验证。
除此之外,您还需要按照以下步骤进行操作
1)确保BIG IP处理可在BiG IP的HTTPS监视器中配置的客户端证书和客户端密钥。
2)配置BIG-IP以在每个请求中插入名为WL-Proxy-SSL的标头:值为true。
3)在
中启用weblogic代理插件选项卡AdminConsole - >服务器 - > [Your_Server_Name] - >配置[Tab] - >一般[子标签]
以上更改将有助于低调来自BIG IP的请求最初启用SSL的weblogic。
查看以下链接,了解如何使用BIGIP配置WL-Proxy-SSL
https://support.f5.com/kb/en-us/solutions/public/4000/400/sol4443.html?sr=10058313