java – 在Tomcat中基于url配置HTTPS证书使用
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了java – 在Tomcat中基于url配置HTTPS证书使用,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2678字,纯文字阅读大概需要4分钟。
内容图文
我正在开发一个webapp,它使用客户端证书在使用Jersey的Web服务调用期间对Tomcat进行身份验证.到目前为止,这工作得很好,但是我需要在相同的上下文中使用Web前端来管理这个应用程序.由于SSL配置是“每个上下文”,使前端使用https的唯一选择似乎是在访问浏览器中安装客户端证书,该浏览器也在tomcat的信任库中列出(或者完全放弃使用https) .
为了说明我真正想要的东西:
1. https://url-to-webapp/ws <- Should use client certificate
2. https://url-to-webapp/web <- Should just use a server certificate
这可以在Tomcat配置中,甚至在应用程序代码中以某种方式实现吗?
更新
我尝试了EJP建议的配置,但现在我无法连接到Tomcat,无论我使用哪些证书 – 它在查找过程中似乎都失败了.如果我在8080上创建HTTP连接器,它会将我重定向到8443.这是我正在使用的配置.有任何想法吗?
的tomcat-users.xml中
<tomcat-users>
<role rolename="webservice"/>
<user username="CN=ClientCert,OU=Corp,O=Corp,L=London,S=London,C=UK" password="" roles="webservice"/>
</tomcat-users>
server.xml中
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="c:\tomcat\keys\server.jks" keystorePass="password"
truststoreFile="c:\tomcat\keys\client.jks" truststorePass="password"/>
web.xml中
[...]
<security-constraint>
<display-name>ClientCertificateRequired</display-name>
<web-resource-collection>
<web-resource-name>MyWebService</web-resource-name>
<description/>
<url-pattern>/webservice/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description/>
<role-name>webservice</role-name>
</auth-constraint>
<user-data-constraint>
<description/>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>tomcat-users</realm-name>
</login-config>
<security-role>
<description/>
<role-name>webservice</role-name>
</security-role>
[...]
<servlet>
<display-name>Webservice</display-name>
<servlet-name>Webservice</servlet-name>
<servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
[...]
<run-as>
<role-name>webservice</role-name>
</run-as>
</servlet>
[...]
解决方法:
您可以将Tomcat配置为使用客户端证书重新协商(而不是初始协商),因此是否要求客户端证书取决于请求的URL.
为此,您需要在连接器配置中使用clientAuth =“false”,然后使用< auth-method> CLIENT-CERT< / auth-method>在您希望使用客户端证书保护的webapp中.
请注意,这使用了重新协商,因此您可能必须处理TLS重新协商错误问题.简而言之,2009年11月左右发布了一个TLS协议缺陷.直接的安全修复是禁用重新协商(除非强制使用非安全选项)然后执行RFC 5746.请参阅第1阶段和第2阶段修复Oracle Java Transport Layer Security (TLS) Renegotiation Issue Readme.
对于您要执行的操作,您需要重新协商才能启用,为了确保安全,您必须使用JRE版本1.6.0_22.
内容总结
以上是互联网集市为您收集整理的java – 在Tomcat中基于url配置HTTPS证书使用全部内容,希望文章能够帮你解决java – 在Tomcat中基于url配置HTTPS证书使用所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。