3.通过数字证书实现单点登录

　　场景描述：

　　用户访问WAS系统，系统提示输入帐号进行验证，之后当用户再访问系统A时则提示选择数字证书进行认证，用户选择并确定数字证书后即登录系统A。

　　过程说明：

　　首先要建立CA center、Webseal、系统A之间的信任关系，步骤如下

　　（1） CA Center给Webseal颁发服务器证书和根证书，Webseal将这两个证书导入；

　　（2） CA Center给系统A颁发服务器证书和根证书，系统A也导入这两个证书；

　　（3） 在客户端浏览器导入CA Center颁发的用户证书和根证书；

　　上述3个步骤完成了CA center与Webseal以及系统A的证书信任过程，它们都有来自CA Center的根证书，此外客户端也拥有了根证书；

　　然后在Webseal配置“保护对象策略”（Protected Object Policies）是数字证书的方式，并配置到此POP的资源是系统A；

　　pdadmin sec_master> pop create sysA_pop
　　pdadmin sec_master> pop modify sysA_pop set ipauth anyothernw 2
　　pdadmin sec_master> pop attach /WebSEAL/webseald-cruz/sysA sysA_pop

　　（1） 当用户请求WAS应用时，Webseal要求输入用户名和密码，完成登录；

　　（2） 当用户接着请求到系统A时，Webseal根据之前设定要求数字证书的验证，浏览器弹出数字证书选择对话框（用户数字证书已在浏览器客户端导入），用户选择自己对应的数字证书后通过认证进入系统A