Show TOC

Client-Zertifikate mit einem zwischengeschalteten Server verwendenLocate this document in the navigation structure

Verwendung

Wenn Benutzer über einen zwischengeschalteten Server eine Verbindung zum AS Java herstellen, der die Verbindung abbricht (z.B. über einen Web-Proxy), kann das SSL-Client-Zertifikat des Benutzers nicht direkt für die Authentifizierung auf dem AS Java verwendet werden. In diesem Fall leitet der zwischengeschaltete Server das Zertifikat des Benutzers in einer Header-Variable an den AS Java weiter und dieser akzeptiert das Zertifikat aufgrund seiner Vertrauensbeziehung mit dem zwischengeschalteten Server.

Hinweis

Auch wenn es möglich ist, HTTP für die Verbindung zwischen dem zwischengeschalteten Server und dem AS Java zu verwenden, empfehlen wir auch für diese Verbindung die Verwendung von HTTPS.

Voraussetzungen
  • Um HTTPS für die Verbindung zwischen dem zwischengeschalteten Server und dem AS Java verwenden zu können, müssen Sie den AS Java so konfigurieren, dass er SSL unterstützt.
  • Der zwischengeschaltete Server verfügt über ein öffentliches Schlüsselzertifikat für die Verwendung von SSL mit gegenseitiger Authentifizierung zwischen dem zwischengeschalteten Server und dem AS Java.
  • Der zwischengeschaltete Server ist so konfiguriert, dass er das Client-Zertifikat des Benutzers an den AS Java weiterleitet.
  • Sie kennen den Namen der Header-Variablen, die das Zertifikat des Benutzers enthält.
Vorgehensweise
  1. Wenn Sie den Web Dispatcher als zwischengeschalteten Server verwenden, setzen Sie den Profilparameter icm/HTTPS/forward_ccert_as_header des Web Dispatchers auf true .
  2. Setzen Sie auf dem AS Java folgende ICM-Profilparameter.

ICM-Profilparameter

Parameter Wert Kommentar

icm/accept_forwarded_cert_via_http

<true, false>

Wählen Sie true, wenn Sie für die Verbindung zwischen dem zwischengeschalteten Server und dem AS Java HTTP ohne SSL zulassen möchten. Der Vorschlagswert lautet false.

icm/HTTPS/trust_client_with_subject

<Eindeutiger Name des vertrauenswürdigen Subjekts>

String, der den eindeutigen Namen für den/die vertrauenswürdigen Proxy-Server enthält.

icm/HTTPS/trust_client_with_issuer 

<Eindeutiger Name des vertrauenswürdigen Ausstellers>

String, der den eindeutigen Namen des Zertifikat-Ausstellers für den/die vertrauenswürdigen Proxy-Server enthält.

  1. Zertifikatsinformationen des Benutzers pflegen (im jeweiligen Benutzerkonto auf dem AS Java)
Ergebnis

Der zwischengeschaltete Server leitet das Client-Zertifikat des Benutzers für die Authentifizierung an den AS Java weiter.