如何在信任库中为Elytron配置根证书?

问题描述 投票:0回答:2

是否可以在truststore中使用root-ca证书配置WildFly 13客户端证书身份验证?客户端将使用此根签名的证书。

这就是我想知道的:在这个文档https://ctomc.github.io/docs-playground/WildFly_Elytron_Security.html他们说:

IMPORTANT: The decoded principal * MUST* must be the alias value you set in your server’s truststore for the client’s certificate.

这意味着我可以将解码器配置为映射CN以外的属性,这将指向我的信任库中的root-ca别名,并且所有客户端证书都将此属性指向root-ca别名。 但是,问题是,服务器如何知道哪个用户映射到此证书,因为它将此“其他”属性映射到信任库中的相同证书?

ssl wildfly client-certificates elytron
2个回答
1
投票

从Qazxswpoi开始,我认为你所尝试的目标是可能的,这意味着自WF14以来。

从ELY-1418开始,您不必在keystore-realm中保留用户证书。

1
投票

无论您使用CLIENT_CERT机制还是您自己的自定义机制,其工作的关键是

  1. 不要在elytron / server-ssl-context中配置security-domain。
  2. 在您的elytron / security-domain中,使用领域(如LDAP领域或任何其他领域)来提供授权。不要在你的elytron / security-domain中使用以下聚合域:( aggregate-realm name =“CustomRealm”authentication-realm =“keystorebackedRealm”authorization-realm =“...”)
  3. 如果使用CLIENT_CERT机制,请按照https://issues.jboss.org/browse/ELY-1418中记录的步骤进行操作。但是上面的文档中有一个错误。创建/ subsystem = elytron / configurable-http-server-mechanism-factory = configured-cert:add(http-server-mechanism-factory = global,properties = {org.wildfly.security.http.skip-certificate- verify = true}),您需要在elytron / http-authentication-factory中引用它。创建elytron / http-authentication-factory的命令是正确的,但示例输出仍然引用全局工厂。
  4. 如果使用自定义机制,请确保跳过身份验证检查,因为这是由ssl握手完成的。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.