![](/img/trans.png)
[英]Tomcat Application to WCF Service with Client Certificate Authentication
[英]Client's certificate authentication issue in Tomcat in 7.0.100+
我们的项目中有客户的证书认证
但是,由于某种原因,在 100 个 Tomcat 发布后似乎没有任何效果
当我们通过nginx
代理到应用程序时,我们得到400 HTTP
响应或证书标头为空(如果我们设置rejectIllegalHeader="false"
)
示例(标头的值),名称 - ssl_client_cert
:
"-----BEGIN CERTIFICATE-----\x0A\x09MIIFXDCCA0SgAwIBAgIBBDANBgkqhkiG9w0BAQsFADBHMQ...
\x0A\x09-----END CERTIFICATE-----"
或者ssl_client_raw_cert
"-----BEGIN CERTIFICATE-----\x0AMIIFXDCCA0SgAwIBAgIBBDANBgkqhkiG9w0BAQsFADBHMQsw ...
y2EmDsw=\x0A-----END CERTIFICATE-----\x0A"
我想这是罪魁祸首
在第 100 个版本之前一切正常
为了绕过这一点,我们改用ssl_client_escaped_cert
。
"-----BEGIN%20CERTIFICATE-----%0AMIIFXDCCA0SgAwIBAgIBBDANBgkqhkiG9 ...
qgt0Tzy2EmDsw%3D%0A-----END%20CERTIFICATE-----%0A"
现在我们必须在 Java 代码中手动取消转义
String certificateInfo = URLDecoder.decode(request.getHeader(headerName), "UTF-8");
有没有办法让 Tomcat 接受第 100 个版本及更高版本的非转义证书?
不,您无法将 Tomcat 配置为允许包含 0x0A 的 HTTP 标头值。 这些更改是针对CVE-2020-1935 做出的。
顺便说一句,我假设 Nginx 正在执行客户端身份验证并将经过验证的客户端证书传递给 Tomcat。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.