tomcat 8 ssl要求客户端身份验证不会阻止访问

Question

我的目标是通过要求服务器要求客户端证书来提高我的测试服务器安全性。

Tomcat server.xml（conf / server.xml）包含：

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       scheme="https" secure="true" SSLEnabled="true"
       port="443"
       clientAuth="true"
       keyAlias="posh"
       maxThreads="200" acceptCount="100"
       minSpareThreads="5" maxSpareThreads="75"
       keystoreFile="conf/keystore.jks"
       keystoreType="JKS" keystorePass="somePassword"
       enableLookups="true" disableUploadTimeout="true"
       truststoreFile="conf/keystore.jks"
       truststoreType="JKS" truststorePass="somePassword"
       SSLVerifyClient="require" SSLEngine="on" SSLVerifyDepth="2"
       sslProtocol="TLS"/>

Tomcat web.xml（conf / web.xml）包含：

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                      http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
  version="3.1">
...
<user-data-constraint>
  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
<security-constraint>
    <web-resource-collection>
        <web-resource-name>Everything</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
</login-config>
...
</web-app>

我的catalina日志中没有出现错误：

  

... 2016年1月26日15：29：59.023 INFO [主要]   org.apache.coyote.AbstractProtocol.start启动ProtocolHandler   [＆＃34; http-nio-8080＆＃34;] 26-Jan-2016 15：29：59.420 INFO [main]   org.apache.coyote.AbstractProtocol.start启动ProtocolHandler   [＆＃34; http-nio-443＆＃34;] 2016年1月26日15：29：59.421信息[主要]   org.apache.coyote.AbstractProtocol.start启动ProtocolHandler   [＆＃34; ajp-nio-8009＆＃34;] 26-Jan-2016 15：29：59.422 INFO [main]   org.apache.catalina.startup.Catalina.start服务器启动时间为24056毫秒

目前还不确定这是否重要，但conf / keystore.jks会产生以下列表：

root@Posh:/opt/tomcat/conf# keytool -list -keystore keystore.jks -storepass somePassword

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 2 entries

posh, Jan 26, 2016, PrivateKeyEntry, 
Certificate fingerprint (SHA1): 0F:DA:1D:B3:5C:37:60:D0:46:8B:7C:DE:F3:96:2E:DE:A2:4E:2F:B5
clientcert, Jan 26, 2016, trustedCertEntry, 
Certificate fingerprint (SHA1): 42:16:28:7E:17:2D:6C:B4:61:F4:8D:DA:B7:6E:90:E4:9F:3E:FC:83

我的Tomcat 8配置在authbind（）下以Ubuntu 14.04上的tomcat用户开箱即用。

连接到站点的客户端可以接受服务器证书，并在没有客户端证书的情况下自由访问所有已部署的应用程序。

我希望Tomcat会＆＃34;要求＆＃34;在允许访问应用程序之前，来自每个客户端的客户端证书。

如何更改配置以要求/要求客户端证书访问网站上的任何/所有应用程序？