|
证书属性
|
|
内容
|
|
|
|
|
|
|
一览表
|
|
企业网关可以根据经过身份验证的客户端证书的X.509属性授权访问Web服务。例如,一个简单的证书属性过滤器可能只授权证书具有包含以下属性的杰出名称(DName)的客户端:O=oracle。换句话说,只有“oracle”用户才有权访问Web服务。
X.509证书由许多字段组成。Subject字段与本教程最相关。它给出了证书所属客户端的DName。DName是给X.500目录对象的唯一名称。它由许多称为相对区分名称(RDN)的属性值对组成。一些最常见的RDN及其解释如下:
-
CN:CommonName -
OU:组织单位 -
O:组织 -
L:地点 -
S:StateOrProvinceName -
C:国家名称
例如,以下是企业网关提供的sample.p12客户端证书的DName:
<center>
|
| | | |
| |
<pre>CN=Sample Cert,OU=R&D,O=Company Ltd.,L=Dublin 4,S=Dublin,C=IE </pre>
| |
| | | |
|
</center>
使用证书属性过滤器,可以根据DName中的“CN”、“OU”或“C”等对客户端进行授权。
|
|
配置
|
|
X.509属性表列出了一些将针对客户端证书运行的属性检查。每个条目都测试一些证书属性,只有当所有配置的属性值与客户端证书中的属性值匹配时,检查才会通过。因此,实际上,单个属性检查中列出的属性是AND-ed一起的。
例如,想象一下,以下内容被配置为X.509属性表中的条目:
<center>
|
| | | |
| |
<pre>OU=Eng,O=公司有限公司 </pre>
| |
| | | |
|
</center>
如果企业网关收到具有以下DName的证书,则此属性检查将通过,因为所有配置的属性都与证书DName中的属性匹配:
<center>
|
| | | |
| |
<pre>CN=用户1,OU=Eng,O=Company Ltd,L=D4,S=Dublin,C=IECN=User2、OU=Eng、O=Company Ltd、L=D2、S=Dublin、C=IE </pre>
| |
| | | |
|
</center>
但是,如果企业网关收到具有以下DName的证书,属性检查将失败,因为DName中的属性与所有配置的属性不匹配(即“OU”属性的值错误):
<center>
|
| | | |
| |
<pre>CN=User1,OU=qa,O=Company Ltd,L=D4,S=Dublin,C=IE </pre>
| |
| | | |
|
</center>
X.509属性表可以包含几个属性检查条目。在这种情况下,属性检查(即表中的条目)是OR-ed在一起的,因此,如果任何检查成功,则整个证书属性过滤器成功。
因此,总结一下:
- 只有当所有配置的属性值都与客户端证书DName中的属性值匹配时,属性检查中的属性值才会成功。
- 如果X.509属性表中列出的任何属性检查成功,过滤器将成功。
要配置证书过滤器,请填写以下字段:
姓名:
在此处输入过滤器的名称。
X.509属性:
要添加新的X.509属性检查,请单击添加按钮按钮。在添加X.509属性对话框中,输入一个逗号分隔的名称值对列表,代表X.509属性及其值,例如“OU=dev,O=Company”。
新的属性检查将显示在X.509属性表中。可以通过分别单击编辑和删除按钮来编辑和删除现有条目。
|
|
