堆棧內存溢出
  簡體   English   中英

JBoss 相互證書身份驗證在 SSL 握手時失敗

[英]JBoss mutual certificate authentication fails on SSL Handshake

 原文  2012-02-10 10:48:53       ssl/ jboss/ certificate/ mutual-authentication

問題描述

我遵循了這篇博文http://virgo47.wordpress.com/2010/08/23/tomcat-web-application-with-ssl-client-certificates/中的所有步驟,但我使用的是 JBoss7.0.2而不是 6.x 版本。

目標是要求任何客戶端提供客戶端證書並實現客戶端和服務器之間的相互身份驗證。

我創建了一個證書頒發機構 (CA) 來簽署客戶端和服務器證書。

我已將服務器證書導入到密鑰庫中,並在standalone.xml 配置文件中添加了一個 HTTPS 連接器,以在 8443 端口上處理 HTTPS 請求。

我已將 CA 根證書導入到客戶端 Firefox 的 Authorities 下的證書管理器中。

一切正常,當我請求https://localhost:8443時,我得到一個帶有有效服務器證書的頁面。

問題是,當我將客戶端證書導入 Firefox 中的證書管理器並設置服務器配置以驗證客戶端證書(standalone.xml 中的 verify-client="true")時,出現瀏覽器錯誤:

Secure Connection Failed:
An error occurred during a connection to localhost:8443.
SSL peer cannot verify your certificate.
(Error code: ssl_error_bad_cert_alert)

而服務器上的 jboss 日志狀態:

11:01:31,142 DEBUG [org.apache.tomcat.util.net.JIoEndpoint] (http-localhost-127.0.0.1-8443-1) Handshake failed: java.io.IOException: SSL handshake failed. Ciper suite in SSL Session is SSL_NULL_WITH_NULL_NULL
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.handshake(JSSESocketFactory.java:191) [jbossweb-7.0.1.Final.jar:7.0.2.Final]
at org.apache.tomcat.util.net.JIoEndpoint.setSocketOptions(JIoEndpoint.java:1144) [jbossweb-7.0.1.Final.jar:7.0.2.Final]
at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:952) [jbossweb-7.0.1.Final.jar:7.0.2.Final]
at java.lang.Thread.run(Thread.java:662) [:1.6.0_30]

你知道如何解決這個問題嗎?

我的設置:

本地主機服務器:

sovo@sovo-pc:~$ cat /etc/issue
Ubuntu 10.10

JBoss 7.0.2 Final Standalone.xml(相關部分):

<management>
    <security-realms>
        <security-realm name="PropertiesMgmtSecurityRealm">
            <authentication>
                <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
            </authentication>
        </security-realm>
    </security-realms>
    <management-interfaces>
        <native-interface interface="management" port="9999"/>
        <http-interface interface="management" port="9990"/>
    </management-interfaces>
</management>
<profile>
    <subsystem xmlns="urn:jboss:domain:security:1.0">
        <security-domains>
            <security-domain name="other" cache-type="default">
                <authentication>
                    <login-module code="Disabled" flag="required"/>
                </authentication>
            </security-domain>
        </security-domains>
    </subsystem>
    <subsystem xmlns="urn:jboss:domain:web:1.0" default-virtual-server="default-host">
        <connector name="https" protocol="HTTP/1.1" socket-binding="https" scheme="https" enable-lookups="false" secure="true">
            <ssl name="ssl" key-alias="sercer" password="changeit" certificate-key-file="/usr/share/jboss7.0.2/standalone/configuration/certificates/keystore.jks" protocol="TLSv1" verify-client="true" ca-certificate-file="/usr/share/jboss7.0.2/standalone/configuration/certificates/cacerts.jks"/>
        </connector>
        <virtual-server name="default-host" enable-welcome-root="true">
            <alias name="localhost"/>
            <alias name="example.com"/>
        </virtual-server>
    </subsystem>
    <subsystem xmlns="urn:jboss:domain:weld:1.0"/>
</profile>
<interfaces>
    <interface name="management">
        <inet-address value="${jboss.bind.address.management:127.0.0.1}"/>
    </interface>
    <interface name="public">
        <inet-address value="${jboss.bind.address:127.0.0.1}"/>
        <inet-address value="${jboss.bind.address:localhost}"/>
    </interface>
</interfaces>
<socket-binding-group name="standard-sockets" default-interface="public">
    <socket-binding name="http" port="8080"/>
    <socket-binding name="https" port="8443"/>
    <socket-binding name="jmx-connector-registry" port="1090" interface="management"/>
    <socket-binding name="jmx-connector-server" port="1091" interface="management"/>
    <socket-binding name="jndi" port="1099"/>
    <socket-binding name="osgi-http" port="8090" interface="management"/>
    <socket-binding name="remoting" port="4447"/>
    <socket-binding name="txn-recovery-environment" port="4712"/>
    <socket-binding name="txn-status-manager" port="4713"/>
</socket-binding-group>

爪哇版:

sovo@sovo-pc:~$ java -version
java version "1.6.0_30"
Java(TM) SE Runtime Environment (build 1.6.0_30-b12)
Java HotSpot(TM) Server VM (build 20.5-b03, mixed mode)
sovo@sovo-pc:~$ javac -version
javac 1.6.0_30

如果需要,我很樂意提供其他相關信息。

1 個解決方案

解決方案1
 0  2020-06-10 08:57:06

您可能想通過在您的 ssl 連接器中添加密碼套件來嘗試一下:

<ssl name="ssl" key-alias="sercer" password="changeit" certificate-key-file="/usr/share/jboss7.0.2/standalone/configuration/certificates/keystore.jks" protocol="TLSv1" verify-client="true" ca-certificate-file="/usr/share/jboss7.0.2/standalone/configuration/certificates/cacerts.jks" cipher-suite="AES+RSA"/>

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 .NET Mutual SSL握手&#39;客戶端身份驗證&#39; Netty客戶端在需要相互認證的SSL握手期間不發送客戶端證書 SSL握手中的客戶端證書身份驗證 撤銷相互TLS身份驗證中的SSL證書 群集環境中的相互WCF證書身份驗證/ SSL 在R中運行httr庫時的SSL握手失敗,以及相互身份驗證 使用 WCF 進行相互 SSL 身份驗證:在握手階段沒有 CertificateRequest 和 CertificateVerify 在沒有證書的SSL握手中添加客戶端身份驗證 如何在ssl連接期間加載客戶端證書以進行相互身份驗證? 使用gSOAP的相互SSL身份驗證
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM