Authentification mTLS de l'extension Serveur Web MID

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • L'authentification réciproque à l'aide du protocole de sécurité de la couche de transport (mTLS) est un schéma d'authentification sécurisé basé sur des certificats dans lequel le serveur (en l'occurrence, l'extension Serveur Web MID) et le client s'authentifient mutuellement.

    L'authentification TLS se produit lorsqu'un client (par exemple, un navigateur Web) authentifie le serveur auquel il accède en validant le certificat présenté par le serveur. Le client vérifie que le certificat (ou la chaîne de certificat) est signé par une autorité de certification (CA) approuvée. Le client doit avoir accès à un groupe de certificats d'autorité de certification, qu'il utilise pour valider le certificat de serveur.

    Lorsque l'authentification mTLS est configurée, le client présente un certificat ou une chaîne de certificat au serveur, lequel authentifie le client de la même manière que le client authentifie le serveur (authentification réciproque).

    L'extension MID Web Server recherche les emplacements suivants (dans l'ordre spécifié) pour accéder à l'emplacement et au mot de passe du magasin de confiance :
    • Emplacement du magasin de confiance : la propriété système JVM mid.webserver.truststore.path.

      Si cette propriété est vide, l'extension récupère l'emplacement à partir de la propriété système JVM javax.net.ssl.trustStore.

      Si aucun emplacement n'est spécifié, l'emplacement du magasin de confiance est défini par défaut sur le chemin d'accès absolu du fichier cacerts du JRE exécutant le Serveur MID.

    • Mot de passe du magasin de confiance : le champ Mot de passe du magasin de confiance sur le formulaire de l'extension dans l'instance.

      Si ce champ est vide, le système récupère le mot de passe à partir de la propriété système JVM javax.net.ssl.trustStorePassword.

      Si aucun emplacement n'est spécifié, le mot de passe est défini par défaut sur changeit.

    En plus de vérifier la signature du certificat, certaines implémentations TLS vérifient également l'état de révocation du certificat. Dans ces cas, le protocole OCSP (Online Certificate Status Protocol) est utilisé. Dans ce protocole, la partie chargée de la vérification envoie une demande au répondeur OCSP configuré par l'autorité de certification ayant émis le certificat présenté. (L'adresse du répondeur est généralement incorporée dans les certificats délivrés par l'autorité de certification.) La réponse indique si le certificat présenté est révoqué.