Tomcat-兩種SSL作為服務器
[英]Tomcat - Two Way SSL as Server
問題描述
我正在嘗試在正在構建的新Web服務上實現SSL的兩種方式,但遇到了一些問題。
首先,有關環境的一些信息。
Server version: Apache Tomcat/8.0.36
Server built: Jun 9 2016 13:55:50 UTC
Server number: 8.0.36.0
OS Name: Linux
OS Version: 3.10.0-514.el7.x86_64
Architecture: amd64
JVM Version: 1.8.0_111-b14
JVM Vendor: Oracle Corporation
我們使用內部證書頒發機構來簽名我們的所有證書。 因此,所有客戶端證書均由我們的內部根簽名。 當我信任客戶端信任庫中的根證書時,一切正常。 內部root用戶簽名的所有客戶端證書均有效。
但是,如果我從客戶端信任存儲中刪除了根證書,而是添加了單個客戶端證書,則會收到證書鏈錯誤。
*** ECDH ServerKeyExchange
Signature Algorithm SHA512withRSA
Server key: Sun EC public key, 256 bits
public x coord: 107108750176335210433834926983330116805775068919227166974389735341685270962458
public y coord: 93195725734236902743006469378087068209149058097948526490562555560744449337507
parameters: secp256r1 [NIST P-256, X9.62 prime256v1] (1.2.840.10045.3.1.7)
*** CertificateRequest
Cert Types: RSA, DSS, ECDSA
Supported Signature Algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA256withDSA, SHA224withECDSA, SHA224withRSA, SHA224withDSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA Cert Authorities:
<CN=Client, OU=Information Technology, O=Company, L=Calgary, ST=Alberta, C=CA>
*** ServerHelloDone
http-nio2-8443-exec-4, WRITE: TLSv1.2 Handshake, length = 4482 http-nio2-8443-exec-2, READ: TLSv1.2 Handshake, length = 7
*** Certificate chain
<Empty>
***
http-nio2-8443-exec-2, fatal error: 42: null cert chain
javax.net.ssl.SSLHandshakeException: null cert chain %% Invalidated:[Session-2, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256]
http-nio2-8443-exec-2, SEND TLSv1.2 ALERT: fatal, description = bad_certificate http-nio2-8443-exec-2, WRITE: TLSv1.2 Alert, length = 2 http-nio2-8443-exec-2, fatal: engine already closed. Rethrowing javax.net.ssl.SSLHandshakeException: null cert chain http-nio2-8443-exec-2, called closeOutbound() http-nio2-8443-exec-2, closeOutboundInternal()
這對我們來說是一個問題,因為我們無法讓公司中的所有客戶證書都被授予對該端點的訪問權限,這有點違反了目的。
公司根證書位於服務器啟動時使用的另一個信任庫中。 這是我的配置。
Server.xml連接器:
<Connector protocol="org.apache.coyote.http11.Http11Nio2Protocol"
port="8443" maxThreads="24" minSpareThreads="4" maxSpareThreads="4" acceptCount="1000" server=" "
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="certs/servercert.jks" keystorePass=" CrazyPasswordHere"
clientAuth="true" truststoreFile="/usr/local/tomcat/certs/clienttrust.jks" truststorePass="CrazyPasswordHere"
sslEnabledProtocols="TLSv1.2" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA"
useServerCipherSuitesOrder="true" compression="on" compressionMinSize="2048"
compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" />
系統初始化:
# Systemd unit file for tomcat
[Unit]
Description=Apache Tomcat
After=syslog.target network.target
[Service]
Type=forking
Environment=JAVA_HOME=/usr/lib/jvm/jre
Environment=CATALINA_PID=/usr/local/tomcat/temp/tomcat.pid
Environment=CATALINA_HOME=/usr/local/tomcat
Environment=CATALINA_BASE=/usr/local/tomcat
Environment='CATALINA_OPTS= -Xms2048M -Xmx2048M -server -XX:+UseParallelGC \ -Dcom.sun.management.jmxremote \
-Dcom.sun.management.jmxremote.port=8090 \ -Dcom.sun.management.jmxremote.ssl=false \ -Dcom.sun.management.jmxremote.authenticate=true \ -Dcom.sun.management.jmxremote.password.file=/usr/local/tomcat/conf/jmxremote.password \ -Dcom.sun.management.jmxremote.access.file=/usr/local/tomcat/conf/jmxremote.access \ -Djavax.net.debug=SSL \ -Djavax.net.ssl.trustStore=/usr/local/tomcat/certs/servertrust.jks \ -Djavax.net.ssl.trustStorePassword=CrazyPasswordHere \ -Djavax.net.ssl.keyStore=/usr/local/tomcat/certs/serverclient.jks \ -Djavax.net.ssl.keyStorePassword=CrazyPasswordHere '
Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'
ExecStart=/usr/local/tomcat/bin/startup.sh
ExecStop=/bin/kill -15 $MAINPID
User=tomcat
Group=tomcat
[Install]
WantedBy=multi-user.target
這里的任何輸入都很棒! 我無法想象這里的解決方案是應該由特定機構簽署的每個客戶端證書都可以訪問...
謝謝!
1 個解決方案
解決方案1
3 已采納 2016-11-14 20:42:00
經典。 您正在將身份驗證與授權混淆。 SSL的工作是通過您已經建立的機制進行身份驗證,正如您所說的那樣,它可以正常工作。 Tomcat或應用程序的工作是使用該信息來定義誰有權使用該Web應用程序。 這是通過web.xml,CMA等完成的。
如何使用openssl在tomcat 7上的客戶端和服務器上配置兩種方式的ssl以生成ssl證書?
[英]How to configure two way ssl on client and server on tomcat 7 using openssl for ssl certificate generation?
如何在不使用Spring啟動和使用單獨的Apache tomcat服務器的情況下在Spring WS中配置雙向SSL連接?
[英]How to configure two way SSL connection in Spring WS without using Spring boot and using separate Apache tomcat server?
在tomcat中將Web應用程序中的SSL(雙向握手)啟用到外部應用程序
[英]Enable SSL (two way handshake) in web application in tomcat to external application
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
tomcat 中的兩路 ssl
同一Tomcat服務器上的兩個應用程序之間的雙向SSL
如何使用openssl在tomcat 7上的客戶端和服務器上配置兩種方式的ssl以生成ssl證書?
與Tomcat的雙向SSL通信
如何知道https服務器是單向ssl還是雙向ssl
如何在不使用Spring啟動和使用單獨的Apache tomcat服務器的情況下在Spring WS中配置雙向SSL連接?
在tomcat中將Web應用程序中的SSL(雙向握手)啟用到外部應用程序
在服務器上使用SSL配置Tomcat
使用ssl運行的tomcat的兩個實例
使用Tomcat7服務器配置SSL
相關標簽