我想在我在WildFly 9服务器上运行的网络应用上启用客户端证书身份验证。
为此,我使用以下元素配置了我的应用程序:
我创建了一个服务器密钥库,一个客户端密钥库。从他们那里,我导出了一个自签名证书,我将其包含在我的服务器信任库中。
我的standalone.xml文件包含以下部分:
...
<management>
<security-realms>
<security-realm name="my-realm">
<server-identities>
<ssl>
<keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="password"/>
</ssl>
</server-identities>
<authentication>
<jaas name="my-domain"/>
</authentication>
</security-realm>
</security-realms>
</management>
...
<subsystem xmlns="urn:jboss:domain:security:1.2">
<security-domains>
<security-domain name="my-domain" cache-type="default">
<authentication>
<login-module code="Remoting" flag="optional">
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required">
<module-option name="usersProperties" value="${jboss.server.config.dir}/app-users.properties"/>
<module-option name="rolesProperties" value="${jboss.server.config.dir}/app-roles.properties"/>
<module-option name="password-stacking" value="useFirstPass"/>
</login-module>
</authentication>
</security-domain>
</security-domains>
</subsystem>
...
<subsystem xmlns="urn:jboss:domain:undertow:2.0">
<buffer-cache name="default"/>
<server name="default-server">
<http-listener name="default" socket-binding="http" redirect-socket="https"/>
<https-listener name="https" socket-binding="https" security-realm="my-realm"/>
<host name="default-host" alias="localhost">
<location name="/" handler="welcome-content"/>
<filter-ref name="server-header"/>
<filter-ref name="x-powered-by-header"/>
</host>
</server>
<servlet-container name="default">
<jsp-config/>
<websockets/>
</servlet-container>
<handlers>
<file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
</handlers>
<filters>
<response-header name="server-header" header-name="Server" header-value="WildFly/9"/>
<response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
</filters>
</subsystem>
...
我的web.xml文件包含:
...
<security-constraint>
<web-resource-collection>
<web-resource-name>Admin Resource</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
...
<login-config>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>my-realm</realm-name>
</login-config>
<security-role>
<role-name>my-role</role-name>
</security-role>
...
我的jboss-web.xml包含:
<security-domain>my-domain</security-domain>
我还在JDK上添加了以下参数:
-Djavax.net.debug=ssl:handshake
-Djavax.net.ssl.trustStore=[WILDFLY_HOME]\\standalone\\configuration\\server.truststore
-Djavax.net.ssl.trustStorePassword=password
然后,我尝试使用网址http://localhost:8080/my-app-web/上的网络浏览器访问我的网络应用程序。我被重定向到https://localhost:8443/my-app-web/,即使浏览器不包含客户端证书,我也可以访问该页面的内容。
你能告诉我配置有什么问题吗?