我有几个 java servlet,需要使用 X509 证书进行相互身份验证来保护它们。我使用了here中的信息 实现相互身份验证,它在我的机器上运行良好。
现在我们的集成环境有 BigIP 用于负载均衡 weblogic 的流量。 SSL 在 BigIP 处终止,并使用内部证书而不是通过原始 https 请求获得的客户端证书将 https 请求转发到 weblogic。所以相互验证不起作用。
BigIP 团队表示他们可以将客户端的证书放入 HTTP 标头(SSL_CLIENT_CERT)中,但我不确定如何配置 weblogic 以从 http 标头读取客户端的证书。
我需要编写自定义身份断言提供程序并在 weblogic 中配置它吗?这是最好的方法还是我还有其他选择?
非常感谢任何有关此问题的帮助!
如果您使用双向ssl验证客户端身份,则需要配置身份断言器
并使用它来限制对应用程序的访问。如果您使用带有签名 CA(Verisign 等)的双向 ssl
仅用于信任 - 不用于身份验证或任何类型的应用程序访问限制。
检查下面的链接以获取上面的详细说明
http://www.oracle.com/technetwork/articles/damo-howto-091164.html.
您可以按照步骤为 weblogic 服务器配置 X509 证书身份验证。
除了上述之外,您还需要遵循以下步骤
1) 确保 BIG IP 处理客户端证书和客户端密钥,这些可以在 BiG IP 的 HTTPS 监视器中配置。
2) 配置 BIG-IP 以在每个请求中插入名为 WL-Proxy-SSL: 且值为 true 的标头。
3) 启用 weblogic 代理插件选项卡
管理控制台 —> 服务器 —> [Your_Server_Name] —> 配置 [选项卡] —> 常规[子选项卡]
上述更改将有助于理解来自 BIG IP 的请求最初启用了 SSL 的 Weblogic。
检查以下链接以使用 BIGIP 配置 WL-Proxy-SSL
https://support.f5.com/kb/en-us/solutions/public/4000/400/sol4443.html?sr=10058313
@Guru - 我有类似的问题。您最终找到解决方案了吗?如果是的话,可以分享一下吗?在我的例子中,LTM 在验证真实客户端证书后终止连接,然后通过提供内部 LTM 证书重新建立与后端服务器(Apache Web 服务器)的 mTLS 连接,并在 HTTP 标头中插入真实客户端证书公用名。 Apache Web 服务器位于 Weblogic Web 服务器前面。如何让 Apache 或 Weblogic 读取并解析从 LTM 收到的 HTTP 标头中的证书公用名以授权访问?