WSO2 ESB Proxy для службы BE, развернутой на Tomcat
У меня есть веб-сервис SOAP, развернутый на Tomcat, который требует использования https. Теперь мне нужен прокси-сервер с WSO2 ESB для реализации PEP для политики авторизации XACML с использованием WSO2 IS в качестве PDP. Теперь у меня много проблем с различными открытыми ключами. Какие сертификаты мне нужно импортировать и где?
Tomcat: мне нужен сертификат WSO2 ESB для этого? WSO2 ESB: мне нужны сертификаты WSO2 IS и Tomcat? Я прав? WSO2 IS: Я думаю, что нужен только сертификат WSO2 ESB.
Я прав? Большое спасибо.
1 ответ
Вы звоните в службы HTTPS от WSO2 ESB.
- Право на веб-сервис WSO2 IS
- SOAP-сервис в Tomcat
Здесь WSO2 ESB выступает в качестве клиента в SSL-рукопожатии, а WSO2 IS и Tomcat выступают в качестве серверов. В рукопожатии SSL клиент должен доверять серверу. Поэтому клиент должен иметь сертификат сервера.
На самом деле,
- Если у сервера есть сертификат, подписанный ЦС, клиент должен иметь цепочку сертификатов ЦС в своем хранилище доверенных сертификатов.
- Если сервер имеет самозаверяющий сертификат, клиент должен иметь сертификат сервера в своем хранилище доверенных сертификатов.
Поэтому ESB должен содержать сертификаты как WSO2IS, так и Tomcat в хранилище доверенных сертификатов ESB.
По умолчанию хранилище доверия ESB client-truststore.jks файл хранилища ключей, который можно найти по адресу ESB_HOME/repository/resources/security каталог.
You can export the certificate from Tomcat and WSO2IS and import them in to this keystore. However, if you are using WSO2IS with default keystore, Then you do not want to import it to this keystore as it is already there.
You do not need to import ESB's certificate to WSO2IS or Tomcat for SSL. It is only needed, if you are using Mutual SSL.