Ssl 如何在truststore中为根证书配置Elytron？

是否可以使用truststore中的根ca证书配置WildFly 13客户端证书身份验证？客户端将使用此根用户签名的证书

这让我感到疑惑：在这份文档中，他们说：

IMPORTANT: The decoded principal * MUST* must be the alias value you set in your server’s truststore for the client’s certificate.

这意味着我可以将解码器配置为映射除CN之外的属性，该属性将指向我的信任库中的根ca别名，并且所有客户端证书都将具有指向根ca别名的此属性

---

但是，问题是，既然服务器正在将此“其他”属性映射到truststore中的同一证书，那么它如何知道要映射到此证书的用户呢？

我认为您尝试实现的目标是可能的，这意味着自WF14以来

---

自ELY-1418以来，您不必将用户证书保存在密钥库领域。

我认为您尝试实现的目标是可能的，这意味着自WF14以来

---

由于ELY-1418，您不必将用户证书保存在密钥库领域。

无论您使用的是客户端证书机制还是您自己的自定义机制，这项工作的关键是

不要在elytron/server ssl上下文中配置安全域

在您的elytron/security域中，使用领域，如LDAP领域或任何其他领域来提供授权。不要在您的elytron/security域中使用以下聚合域： （聚合领域名称=“CustomRealm”身份验证领域=“KeystrebackedRealm”授权领域=“…”）

如果使用客户端证书机制，请按照此处记录的步骤操作。但是上面的文档中有一个bug。创建/subsystem=elytron/configurable http server mechanism factory=configurated cert:add（http server mechanism factory=global，properties={org.wildfly.security.http.skip certificate verification=true}）后，需要在elytron/http身份验证工厂中引用它。创建elytron/http身份验证工厂的命令是正确的，但示例输出仍然引用全局工厂

如果使用自定义机制，请确保跳过身份验证检查，因为这是通过ssl握手完成的

---

无论您使用客户端证书机制还是您自己的自定义机制，这项工作的关键是

不要在elytron/server ssl上下文中配置安全域

在您的elytron/security域中，使用领域，如LDAP领域或任何其他领域来提供授权。不要在您的elytron/security域中使用以下聚合域： （聚合领域名称=“CustomRealm”身份验证领域=“KeystrebackedRealm”授权领域=“…”）

如果使用客户端证书机制，请按照此处记录的步骤操作。但是上面的文档中有一个bug。创建/subsystem=elytron/configurable http server mechanism factory=configurated cert:add（http server mechanism factory=global，properties={org.wildfly.security.http.skip certificate verification=true}）后，需要在elytron/http身份验证工厂中引用它。创建elytron/http身份验证工厂的命令是正确的，但示例输出仍然引用全局工厂

如果使用自定义机制，请确保跳过身份验证检查，因为这是通过ssl握手完成的

---

如何在WF14中进行配置？它仍在Elytron的信任库中搜索解码的别名。如何在WF14中配置该别名？它还在Elytron's truststore中搜索解码后的别名。