是否可以禁用Tomcats检查扩展密钥用法,以确定SSL证书的用途(服务器,客户端)?
在我的证书中,扩展密钥用法(目的)设置为SSLServer,但我也需要此证书进行客户端身份验证。
我想知道是否有可能在Tomcat中跳过此检查?
答案 0 :(得分:0)
不,这是不可能的。
首先,任何“消耗”证书(即必须验证和验证它的实体)检查属性都是责任。如果要使用Tomcat服务器中的应用程序连接到另一台服务器,使用客户端身份验证,那么就该连接而言,Tomcat中的应用程序就是客户端。这取决于您要连接的服务器以决定它要检查的内容(如果此扩展存在且确实可以理解,它确实会检查扩展密钥的使用情况。)
其次,从您这边更改扩展密钥使用扩展名意味着更改证书本身。本质上,只有在CA进行这些修改并相应地为您提供新证书时才应该这样做。
话虽如此,许多CA似乎在证书中启用了TLS Web服务器身份验证(1.3.6.1.5.5.7.3.1)和TLS Web客户端身份验证(1.3.6.1.5.5.7.3.2)服务器问题,没有任何额外选项。