如何在信任库中为根证书配置Elytron？

Question

是否可以使用信任库中的根-ca证书配置WildFly 13客户端证书身份验证？客户端将使用此根用户签名的证书。

让我感到奇怪的是:在这个文档Security.html中，他们说：

IMPORTANT: The decoded principal * MUST* must be the alias value you set in your server’s truststore for the client’s certificate.

这意味着我可以将解码器配置为映射CN以外的属性，这将指向信任库中的root-ca别名，并且所有客户端证书都将该属性指向根-ca别名。

但是，问题是，由于服务器正在将“其他”属性映射到信任存储中的同一个证书，因此服务器如何知道要映射到该证书的哪个用户？

Answer 1

我认为，从https://issues.jboss.org/browse/ELY-1418开始，这意味着从WF14开始，您正在尝试实现的目标是可能的。

从ELY-1418开始，您就不必将用户证书保存在密钥存储领域。

Answer 2

无论您使用的是CLIENT_CERT机制还是您自己的自定义机制，这一机制的关键是

1. 不要在elytron/server-ssl上下文中配置安全域。
2. 在您的Ely简/安全域中，使用一个领域，比如LDAP领域或任何其他领域来提供授权。不要在您的Ely简/安全域中使用以下聚合-领域：(聚合-领域name="CustomRealm“身份验证-领域=”keystorebackedRealm“授权-领域=”.“)
3. 如果使用CLIENT_CERT机制，请按照在Security.html上记录的步骤执行。但是在上面的文档中有一个错误。创建/subsystem=elytron/configurable-http-server-mechanism-factory=configured-cert:add(http-server-mechanism-factory=global，properties={org.wildfly.security.http.skip-certificate-verification=true})，之后，您需要在elytron/中引用它。创建elytron/http-身份验证-工厂的命令是正确的，但是示例输出仍然引用全局工厂。
4. 如果使用自定义机制，请确保跳过身份验证检查，因为这是通过ssl握手完成的。