搜索
支持控制台(Console)开发人员开始试用联系人

5.2.3. 配置基于证书的身份验证

download PDF

Java 身份验证与授权服务 (JAAS)证书登录模块处理使用传输层安全(TLS)的客户端的身份验证和授权。该模块需要使用双向 传输层安全( TLS),并且客户端配置有自己的证书。身份验证在 TLS 握手期间执行,而不是直接由 JAAS 证书登录模块执行。

证书登录模块的角色为:

  • 限制可接受的用户集合。只有相关属性文件中明确列出的用户 区分名称 (DN)才有资格进行身份验证。
  • 将组列表与收到的用户身份关联。这可促进授权。
  • 要求存在传入客户端证书(默认情况下,TLS 层配置为将客户端证书的存在性视为可选)。

证书登录模块将证书 DN 的集合存储在一对无格式文本文件中。文件将用户名和组 ID 列表与各个 DN 相关联。

证书登录模块由 org.apache.activemq.artemis.spi.core.security.jaas.TextFileCertificateLoginModule 类实施。

5.2.3.1. 将代理配置为使用基于证书的身份验证

以下流程演示了如何配置代理以使用基于证书的身份验证。

先决条件

流程

  1. 从之前导入代理密钥存储的用户证书获取使用者可 辨识名称 (DN)。

    1. 将证书从密钥存储文件导出到临时文件。例如: 

      keytool -export -file <file_name> -alias broker-localhost -keystore broker.ks -storepass <password>

    2. 打印导出的证书的内容: 

      keytool -printcert -file <file_name>

      输出结果类似如下: 

      Owner: CN=localhost, OU=broker, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Issuer: CN=localhost, OU=broker, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Serial number: 4537c82e
Valid from: Thu Oct 19 19:47:10 BST 2006 until: Wed Jan 17 18:47:10 GMT 2007
Certificate fingerprints:
         MD5:  3F:6C:0C:89:A8:80:29:CC:F5:2D:DA:5C:D7:3F:AB:37
         SHA1: F0:79:0D:04:38:5A:46:CE:86:E1:8A:20:1F:7B:AB:3A:46:E4:34:5C

      Owner 条目是主题 DN。用于输入主题 DN 的格式取决于您的平台。上面的字符串也可以表示为: 

      Owner: `CN=localhost,\ OU=broker,\ O=Unknown,\ L=Unknown,\ ST=Unknown,\ C=Unknown`

  2. 配置基于证书的身份验证.

    1. 打开 <broker_instance_dir>/etc/login.config 配置文件。添加证书登录模块,并引用用户和角色属性文件。例如: 

      activemq {
    org.apache.activemq.artemis.spi.core.security.jaas.TextFileCertificateLoginModule
        debug=true
        org.apache.activemq.jaas.textfiledn.user="artemis-users.properties"
        org.apache.activemq.jaas.textfiledn.role="artemis-roles.properties";
};
      org.apache.activemq.artemis.spi.core.security.jaas.TextFileCertificateLoginModule
      实施类。
      org.apache.activemq.jaas.textfiledn.user
      指定为登录模块实施定义一组用户和密码的属性文件。
      org.apache.activemq.jaas.textfiledn.role
      指定将用户映射到登录模块实施的已定义角色的属性文件。

    2. 打开 <broker_instance_dir>/etc/artemis-users.properties 配置文件。用户及其对应的 DN 在此文件中定义。例如: 

      system=CN=system,O=Progress,C=US
user=CN=humble user,O=Progress,C=US
guest=CN=anon,O=Progress,C=DE

      例如,根据上述配置,名为 system 的用户映射到 CN=system,O=Progress,C=US 主题 DN。

    3. 打开 <broker_instance_dir>/etc/artemis-roles.properties 配置文件。可用的角色和持有这些角色的用户在此文件中进行了定义。例如: 

      admins=system
users=system,user
guests=guest

      在上述配置中,对于 users 角色,您可以以逗号分隔的列表列出多个用户。

    4. 确保 bootstrap.xml 中引用了您的安全域别名(在这个示例中是 activemq),如下所示: 

      <jaas-security domain="activemq"/>
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.