X.509与Whte列表身份验证
我的公司正在向基于云的应用服务器过渡。关键应用程序将继续在内部运行,但选定的新应用程序将运行在基于云的应用服务器上。许多内部应用服务器为客户端应用程序提供REST端点。目前,该公司使用白色列表进行客户身份验证。对于单个实例云服务来说,这是可以的。我们使用AWS,因此弹性IP (EIP)可以很好地工作在单个或几个实例上。然而,我认为对于云服务器应用程序来说,根据需要,使用我们公司的白表IP策略来扩展和缩小实例是有问题的,除了几个EIP之外,任何事情都很困难。至少在我看来。
我正在考虑使用X.509证书名验证。换句话说,一旦验证了证书并交换了会话密钥,我就用一个有效名称列表来验证证书上的名称。如果名称匹配,则继续进行会话。否则,如果名称不匹配,则使用403错误代码关闭会话。这是在客户端和服务器上完成的,因此两者都对彼此进行身份验证。是否可以将此名称签入Tomcat作为config.xml的一部分或其他自动的部分?换句话说,这是一种自动的方式,所以我不必修改端点HTTPS代码。还是我必须修改HTTPS代码以包含证书名称的检查?这样做有意义吗?还是有更好的办法?
向你问好,史蒂夫·曼斯菲尔德
回答 1
Stack Overflow用户
发布于 2015-05-28 22:09:13
好吧,我想出了答案。我找到了Maxim Porges的一个很好的网页,它解释了我需要的一切,
http://www.maximporges.com/2009/11/18/configuring-tomcat-ssl-clientserver-authentication/
是的,我可以对服务器和客户端进行身份验证。服务器端不需要更改代码。我只需要将客户端证书放在服务器密钥库中。我还需要确保在tomcat配置文件(server.xml)中将clientAuth设置为“想要”。在客户端,我需要做一些代码更改,但它们是次要的。我还需要将服务器证书和客户端证书放在客户机可以找到它们的地方。只要你知道怎么做就很简单。提供的URL详细解释了每个步骤。
向你问好,史蒂夫·曼斯菲尔德
https://stackoverflow.com/questions/30517088
复制相似问题
腾讯云开发者
