在Apache Ace和Management代理之间启用SSL身份验证

时间:2012-06-06 03:40:35

标签: apache openssl ssl-certificate apache-ace

我正在尝试在Apache Ace和管理代理之间启用双向ssl身份验证(通过遵循文档http://ace.apache.org/dev-doc/design/using-client-certificates.html)。为实现这一目标,首先我按照下面提到的步骤创建了所需的证书:

步骤#1)通过执行以下命令,使用OpenSSL创建自签名证书颁发机构:

openssl req -x509 -new -config Certi/X509CA/openssl.cnf -days 365 -out Certi/X509CA/ca/new_ca.pem -keyout Certi/X509CA/ca/new_ca_pk.pem

此命令创建了证书new_ca.pem及其私钥new_ca_pk.pem。

步骤#2)使用以下命令将证书new_ca.pem导入名为truststore的密钥库文件

keytool -import -alias truststore -keystore truststore -file new_ca.pem

步骤#3)为Java密钥库文件中提供的管理代理创建了一个名为keystore-ma.jks的证书。

keytool -genkey -dname "CN=<hostIP>, OU=IT, O=<Organization Name>, ST=UP, C=IN" -validity 365 -alias keystore-ma -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#4)创建CSR:

keytool -certreq -alias keystore-ma -file keystore-ma_csr.pem -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#5)使用在步骤1中创建的证书颁发机构签署证书。

openssl ca -config X509CA/openssl.cnf -days 365 -cert C:/X509CA/ca/new_ca.pem -keyfile C:/X509CA/ca/new_ca_pk.pem -in C:/X509CA/ca/keystore-ma_csr.pem -out C:/X509CA/ca/keystore-ma.pem

步骤#6)将证书导入名为keystore-ma

的kestore文件中
keytool -import -alias keystore-ma -keystore keystore-ma -file keystore-ma.pem

遵循类似的步骤(3-6)来创建和签署一个名为keystore-server的Java密钥库文件中提供的cetificate或ACE服务器。

然后我更新了Ace Server的Platform.properties以包含其他属性并启动了Ace Server:

-Dorg.osgi.service.http.port.secure=8443
-Dorg.apache.felix.https.enable=true
-Dorg.apache.felix.https.truststore=/path/to/truststore
-Dorg.apache.felix.https.truststore.password=secret
-Dorg.apache.felix.https.keystore=/path/to/keystore-server
-Dorg.apache.felix.https.keystore.password=secret
-Dorg.apache.felix.https.clientcertificate=needs

使用以下命令启动ace-launcher.jar:

java -Djavax.net.ssl.trustStore=/path/to/truststore -Djavax.net.ssl.trustStorePassword=secret -Djavax.net.ssl.keyStore=/path/to/keystore-ma -Djavax.net.ssl.keyStorePassword=secret -jar org.apache.ace.launcher-0.8.1-SNAPSHOT.jar  discovery=https://<Ace Server Ip>:8443 identification=MyTarget

我通过将发现网址更改为

多次尝试
 1) https://<Ace Server Ip>:8080
 2) http://<Ace Server Ip>:8080
 3) https://<Ace Server Ip>:8443

但目标未在Ace Server中注册。我使用正确的URL通过HTTPS连接到Ace服务器吗?  另外如何确认我的Ace服务器是否配置为接受来自管理代理的HTTPS流量?

1 个答案:

答案 0 :(得分:1)

我看到你使用的是一个不仅仅是一个通用名称的专有名称(DN) 按照惯例,作为公用名的主机名用于证书验证。如果您使用CN=hostname-of-target创建证书(IP地址不足),它应该有效。

我可以提供另一个提示来解决SSL错误的问题:对服务器使用-Djavax.net.debug=ssl,它会吐出大量信息,但会提供有关正在发生的事情以及导致错误的原因的详细信息。