Jetty：如何在应用程序代码中验证 SSL 客户端证书？

阿拉斯泰尔·麦考马克

我有一个多租户网络服务，我想使用相互 SSL/TLS 身份验证以及用户身份验证。这意味着我需要解析用户和用户允许的证书，这只能在建立 SSL 连接后发生。然后我将使用PKIXCertPathBuilderResult请求中传递的客户端证书来验证信任链。

在带有 openssl 连接器的 Tomcat 中，可以使用optional_no_camode，它请求客户端证书但不对其进行验证。

使用 Jetty 9.x，我尝试配置以下SslContextFactory选项无济于事：

ValidateCerts=false
ValidatePeerCerts=false
TrustAll=true

如何在 Jetty 9.x 中实现这一点？

2019 年编辑：要求访问系统的所有客户端设备都需要 SSL 证书。证书链和其他证书属性的验证将由应用程序执行，该应用程序还能够从外部来源查找丢失的证书根。这与规范相反 - 通常，应用程序服务器将在 SSL 连接设置期间使用已知可信 CA 的预配置静态列表执行证书链验证。如果无法找到信任，则拒绝 SSL 连接。

阿拉斯泰尔·麦考马克

虽然TrustAll似乎是可能的解决方案，但它只有在没有提供 TrustStore和KeyStore时才有效。然后您无法使用常规客户端进行连接，因为服务器在握手期间没有证书可提供。

要获得合理的 trustAll 模式，唯一的选择似乎是扩展SslContextFactory：

package media.alu.jetty;
/**
 * SslContextFactoryRelaxed is used to configure SSL connectors
 * as well as HttpClient. It holds all SSL parameters and
 * creates SSL context based on these parameters to be
 * used by the SSL connectors.
 *
 * TrustAll really means trustAll!
 */
@ManagedObject
public class SslContextFactoryRelaxed extends SslContextFactory
{
    private String _keyManagerFactoryAlgorithm = DEFAULT_KEYMANAGERFACTORY_ALGORITHM;
    private String _trustManagerFactoryAlgorithm = DEFAULT_TRUSTMANAGERFACTORY_ALGORITHM;

    @Override
    protected TrustManager[] getTrustManagers(KeyStore trustStore, Collection<? extends CRL> crls) throws Exception
    {
        TrustManager[] managers = null;
        if (trustStore != null)
        {
            if (isTrustAll()) {
                managers = TRUST_ALL_CERTS;
            }

            // Revocation checking is only supported for PKIX algorithm
            else if (isValidatePeerCerts() && "PKIX".equalsIgnoreCase(getTrustManagerFactoryAlgorithm()))
            {
                PKIXBuilderParameters pbParams = newPKIXBuilderParameters(trustStore, crls);

                TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(_trustManagerFactoryAlgorithm);
                trustManagerFactory.init(new CertPathTrustManagerParameters(pbParams));

                managers = trustManagerFactory.getTrustManagers();
            }
            else
            {
                TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(_trustManagerFactoryAlgorithm);
                trustManagerFactory.init(trustStore);

                managers = trustManagerFactory.getTrustManagers();
            }
        }

        return managers;
    }

}

使用：

按照 Jetty 文档使用客户端身份验证配置 SSL/TLS
针对 Jetty 9.x 编译上面的代码
在 $jetty.home/lib/ext 中安装 jar

编辑 $jetty.home/etc/jetty-ssl-context.xml

一世。改变：

<Configure id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory">

至：

<Configure id="sslContextFactory" class="media.alu.jetty.SslContextFactoryRelaxed">

ii. 添加<Set name="TrustAll">TRUE</Set>为<Configure id="sslContextFactory">

本文收集自互联网，转载请注明来源。

如有侵权，请联系 [email protected] 删除。

编辑于 2021-06-15

我来说两句

0 条评论

登录后参与评论

TOP 榜单

文章

Jetty：如何在应用程序代码中验证 SSL 客户端证书？

Jetty：如何在应用程序代码中验证 SSL 客户端证书？

Linux的官方Adobe Flash存储库是否已过时？

如何使用HttpClient的在使用SSL证书，无论多么“糟糕”是

错误：“ javac”未被识别为内部或外部命令，

在 Python 2.7 中。如何从文件中读取特定文本并分配给变量

Modbus Python施耐德PM5300

为什么Object.hashCode（）不遵循Java代码约定

如何检查字符串输入的格式

检查嵌套列表中的长度是否相同

错误TS2365：运算符'！=='无法应用于类型'“（”'和'“）”'

如何自动选择正确的键盘布局？-仅具有一个键盘布局

如何正确比较 scala.xml 节点？

在令牌内联程序集错误之前预期为 ')'

如何在JavaScript中获取数组的第n个元素？

如何将sklearn.naive_bayes与（多个）分类功能一起使用？

ValueError：尝试同时迭代两个列表时，解包的值太多（预期为 2）

如何监视应用程序而不是单个进程的CPU使用率？

解决类Koin的实例时出错

ES5的代理替代

有什么解决方案可以将android设备用作Cast Receiver？

VBA 自动化错误：-2147221080 (800401a8)

套接字无法检测到断开连接