我已经为我的Tomcat服务器实现了客户端身份验证。我分发了客户端X509证书和JKS,它们是使用我自己的CA crt和openSSL生成的。现在我想使用CRL来阻止我的一些客户。如何在tomcat中添加CRL?...我没有从Google那里找到任何帮助。
答案 0 :(得分:0)
我回答了我自己的问题。在tomcat连接器标签中,你有crlFile参数,可以使用openssl生成。命令看起来像这样
openssl ca -config openssl.my.cnf -revoke certs/server.crt
openssl ca -config openssl.my.cnf -gencrl -out crl/myca.crl
文件myca.crl将在tomcat的connector标签中更新,看起来像这样
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="true"
sslProtocol="TLS"
keystoreFile="one.mamoi.semdev.com.pkcs12"
keystoreType="PKCS12"
keystorePass="changeit"
truststoreFile="server.truststore"
truststorePass="changeit"
truststoreType="JKS"
crlFile="/home/ubuntu/myCA/crl/myca.crl"/>