在Tomcat中根据url配置HTTPS证书使用情况

时间:2010-11-20 16:38:43

标签: java tomcat https

我正在开发一个webapp,它使用客户端证书在使用Jersey进行Web服务调用期间对Tomcat进行身份验证。到目前为止,这工作得很好,但是我需要在相同的上下文中使用Web前端来管理这个应用程序。由于SSL配置是“每个上下文”,使前端使用https的唯一选择似乎是在访问浏览器中安装客户端证书,该浏览器也在tomcat的信任库中列出(或者完全放弃使用https)

说明我真正想要的东西:

1. https://url-to-webapp/ws <- Should use client certificate
2. https://url-to-webapp/web <- Should just use a server certificate

这可以在Tomcat配置中,甚至在应用程序代码中以某种方式实现吗?

更新

我尝试了EJP建议的配置,但现在无论我使用证书都无法连接到Tomcat - 它似乎在查找过程中失败了。如果我在8080上创建HTTP连接器,它会将我重定向到8443.这是我正在使用的配置。有什么想法吗?

Tomcat的users.xml中

<tomcat-users>
<role rolename="webservice"/>
<user username="CN=ClientCert,OU=Corp,O=Corp,L=London,S=London,C=UK" password="" roles="webservice"/>
</tomcat-users>

server.xml中

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="c:\tomcat\keys\server.jks" keystorePass="password"
truststoreFile="c:\tomcat\keys\client.jks" truststorePass="password"/>

的web.xml 

[...]
    <security-constraint>
        <display-name>ClientCertificateRequired</display-name>
        <web-resource-collection>
            <web-resource-name>MyWebService</web-resource-name>
            <description/>
            <url-pattern>/webservice/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>webservice</role-name>
        </auth-constraint>
        <user-data-constraint>
            <description/>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>tomcat-users</realm-name>
    </login-config>
    <security-role>
        <description/>
        <role-name>webservice</role-name>
    </security-role>
    [...]
    <servlet>
        <display-name>Webservice</display-name>
        <servlet-name>Webservice</servlet-name>
        <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
        [...]
            <run-as>
            <role-name>webservice</role-name>
        </run-as>
    </servlet>
    [...]

2 个答案:

答案 0 :(得分:4)

您可以将Tomcat配置为使用客户端证书重新协商(而不是初始协商),因此无论是否要求客户端证书取决于所请求的URL。

要执行此操作,您需要在连接器配置中使用clientAuth="false",然后在要使用客户端证书保护的Web应用中使用<auth-method>CLIENT-CERT</auth-method>

请注意,这会使用重新协商,因此您可能必须处理TLS重新协商错误问题。简而言之,2009年11月左右发布了一个TLS协议缺陷。直接的安全修复是禁用重新协商(除非强制使用非安全选项)然后执行RFC 5746.请参阅第1阶段和第2阶段修复Oracle Java Transport Layer Security (TLS) Renegotiation Issue Readme

对于您要执行的操作,您需要重新协商才能启用,为了确保安全,您必须使用JRE版本1.6.0_22。

答案 1 :(得分:2)

只需将第一个URL定义为安全且需要机密性和特定角色,并将Web应用程序定义为使用SSL客户端身份验证。将第二个URL定义为不需要角色。这都在web.XML中。然后为自己定义一个合适的Realm来检查身份并从中获取角色。

相关问题
最新问题