Mirth：使用客户端证书调用 SSL SOAP Web 服务

Question

该场景围绕从 Mirth 中调用外部 SSL SOAP Web 服务进行。 Web 服务需要 SSL/TLS 连接以及客户端证书。

目的是使用内置的 SOAP 发送方目标来调用远程安全 Web 服务，并以某种方式包含该客户端证书。

据我所知，您首先需要将该客户端证书安装到 Java 运行时中。 这可能位于 Java 运行时的证书存储区或 Jetty 证书存储区中。

平台：

• Windows 2003 SP2
• Mirth 1.8
• Java jre1.5.0_09

问题：您建议采用哪些配置步骤（Mirth、JRE 证书存储等）才能成功让 Mirth SOAP 发送器包含客户端证书（ *.cer) 调用受 SSL 保护的 Web 服务时？

Answer 1

如果设置了某些系统属性，Java 运行时（或更具体地说，Sun JSSE 提供程序）将提供客户端证书。 您可以在 JSSE 参考中阅读详细信息指南，，但重要的属性是 javax.net.ssl.keyStore 和 javax.net.ssl.keyStorePassword。

这种方法有一些缺点。 首先，将密钥存储密码设置为系统属性，使得该进程中运行的任何代码都可以访问该密码，尽管如果安装了 SecurityManager，则可以控制这一点。 其次，这些设置将用于通过“默认”SSLContext 创建的任何 SSL 套接字。 如果您需要针对不同端点使用不同的凭据，则需要特定于 Mirth 的解决方案。

问题中没有指定起点，但如果从头开始，最简单的方法是创建一个新的 Java 密钥存储（“JKS”格式）并生成新的密钥对和 CSR。 将 CSR 发送到 CA 并取回证书后，将其导入到同一密钥存储中。 该密钥库已准备好使用。

如果证书已可用，则它可能与相应的私钥一起以 PKCS#12 格式（.p12 或 .pfx 文件）存储。 这些可以直接由 Java 应用程序使用，但 javax.net.ssl.keyStoreType 属性需要设置为 "PKCS12"

Answer 2

Mirth 1.8 在调用 SOAP Web 服务时无法发送客户端证书。

Answer 3

我来晚了一点，但实际上有可能。 通过向 JVM 发送一些配置参数，您可以让底层 SOAP 引擎切换到 HTTP 并提供正确的证书。

请参阅此问题，详细了解要设置哪些参数来配置 VM

Java HTTPS 客户端证书身份验证

您会注意到有很多事情需要注意。 通常，一旦正确配置了证书，HTTP 和客户端身份验证就应该“正常工作”。 但有些服务器对 B2B 类型的客户不太友好，所以你必须小心。

使用 JDK 6_21 并对证书进行一些调整，我能够让其中一台服务器正常运行，但对于我们来说，需要大约 15 分钟才能在服务器上正确配置，这对我们来说是漫长而痛苦的。

这是解决这个问题的另一个问题（对不友好服务器的客户端身份验证）。

客户端 SSL 身份验证导致 IIS 出现 403.7 错误