管理证书提供者

在线编辑

基于证书的身份在将外部证书提供者与额外的安全层 (例如符合 X.509 的数字证书) 连接时提供对精确洞察的访问。 它在访问已连接的应用程序时使用 IBM® Verify 的数字证书进行认证。 管理员可以使用此数字签名来验证身份以进行认证和合规性。 此外,证书可能使用公共访问 (CAC) 或个人身份验证 (PIV) 卡。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM Verify 管理控制台。
  • 要能够使用证书提供程序,租户必须具有虚主机名。 参见获取自定义主机名
  • 您需要通过支持途径提供根证书和中间证书:
    • 若您的租户已创建且自定义主机名配置正确, IBM Verify 请通过 IBM 支持团队提交工单联系,我们将告知您如何提供证书。
    • 必须保留 X.509 PEM 编码格式的证书。
    • 这是一个示例:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    注: 有关PEM编码格式的更多信息,请阅RFC 1421
  • 接收确认已使用租户上的虚主机名正确配置证书链。 收到确认后,可以将已发放的客户机证书用于 SAML 和 OIDC 认证以及用户启动板。
注: 要使客户机证书认证工作,需要可公开访问的 CRL 分发或 OCSP 端点 (保存在客户机证书中)。

关于此任务

Verify 支持访问多个用于完成复杂任务的功能。 例如,自己的基本服务提供者以及通常用于开发定制服务提供者的其他应用程序接口。 X.509 数字签名证书提供了许多优点。 两个重要信息是 certificate revocation listscertification path validation algorithm 最终到达信任锚。

注: 有关 X.509 数字签名证书的更多信息,请参阅 X.509 证书。 如需更深入的审查,请参阅 RFC 5280

过程

  1. 选择身份验证 > 证书提供程序
  2. 选择 添加证书提供者
  3. 提供 常规设置
    1. 向证书提供者提供易于识别的名称,并设置身份提供者。
    2. 选择用于认证用户的身份提供者。 常用身份提供者为:
      • 云目录
      • IBMid
      注: 创建证书提供程序后,无法更改身份提供程序。
    3. 选中 JITP (即时供应) 复选框以供应用户帐户。
  4. 单击下一步
  5. 配置 用户属性。 指定从证书发送的用户属性,以验证用户身份和创建用户配置文件。
    1. 可选: 选择证书属性
      注: 用户可以添加多行。
    2. 选择 IBM Security Verify 属性。 此选择基于管理员选择或创建的过去属性。
      注意:

      您可以从现有属性中选择一个选项。 缺省情况下,属性为

      None - Do not map

      如果选择 None - Do not map,那么无法配置:

      • Transformation value
      • Store attribute in user profile
    3. 从菜单中选择 变换值
    4. 在用户概要文件中存储属性 菜单中选择选项。
      • 始终 - 每次登录时存储或更新属性。
      • 仅在创建用户时 - 创建帐户时存储属性一次。
      • 已禁用 -从不存储或更新属性。
      配置第一个 user attributes后,单击 添加属性映射 以添加更多映射。
      注: 您可以根据需要添加任意数量的属性映射。
    5. 选择 唯一用户标识。 此标识是用于链接到 Verify 身份提供者中的现有用户的证书属性。
    6. 通过在 请求规则 选项中创建定制规则来计算属性值。
      样本规则的示例:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      测试请求规则以确保其按预期运行。 单击结果的 运行测试 。 它是基于样本输入的返回值。
  6. 对于 证书链,请完成以下步骤以提供发放中间认证中心或根认证中心的主体密钥标识。
    1. 使用以下 Openssl 命令查找直接认证中心的 Subject Key Identifier :
      openssl x509 -inform pem -in $input-filename -text -noout
    2. 单击带有标签 "X.509v3 扩展" 的部分,然后选择 "X.509v3 主题密钥标识"。 复制并在框中提供指定的值。
      注: 创建证书提供程序后,无法更改此值。
  7. 测试配置。 选择。 下一步。 该界面为您提供租户URL。 您必须复制 URL 并尝试连接到您的 IBM Verify
    注: 您需要先启用证书提供程序,然后才能在 IBM Verify 租户中使用该证书提供程序。
  8. 单击 完成设置。 提示会将您重定向到全局设置,以管理或更新与配置相关的一些信息。
  9. 可选: 单击 “证书提供商 ”以查看已创建的证书提供商列表。
    1. 您可以单击 选项列表enable删除 要使用的证书提供程序。

故障诊断

如果配置不起作用,那么可能是由于以下原因:

如果登录 X.509 证书提供者的所有步骤都已完成,但在测试配置页面测试 URL 时却看不到证书提示:

  • 确保正在使用虚主机名。
  • 确保通过支持路径将证书链提供给 IBM Verify

如果 X.509的注册步骤已经完成,但在测试配置页面访问URL 时看不到证书提示,但身份验证无法正常进行:

  • 确保已启用证书提供程序。
  • 如果启用了 JITP ,请确保在指定的身份提供者中创建用户。
  • 如果已禁用 JITP ,请确保用户存在于指定的身份提供者中。

如果在 X.509 证书提供程序启用后更改了 uniqueUserIdentifier 属性,那么它仅适用于首次使用证书进行认证的新认证和用户。

如果启用了 JITP ,那么对于首次在特定身份提供者中创建的用户。

缺省情况下, X.509 证书提供程序处于禁用状态,管理员必须先启用该证书提供程序,然后再尝试测试配置。