Tomcat客户端证书验证

时间:2017-12-13 14:33:01

标签: java rest tomcat ssl ssl-certificate

我已经使用clientAuth =“want”配置了tomcat,因此用户可以使用CERT或不使用CERT登录。现在我们有 在单独的上下文中公开REST服务并且希望服务必须使用客户端CERT调用,所以我们已经编写了 用于休息服务的身份验证过滤器,我们正在检查用户是否已使用CERT调用服务,如下所示

request.getAttribute(javax.servlet.request.X509Certificate);
  1. 这样就足以检查请求中是否存在唯一的证书,还是我们还必须验证该证书?既然我们的理解是tomcat在握手级别验证并且不允许无效证书通过?
  2. tomcat是否仅针对trustStore验证证书,还是验证expiry,issuer等所有方面?
  3. tomcat是否验证证书是否已被撤销?

1 个答案:

答案 0 :(得分:1)

除非证书有效,否则Tomcat不会将请求传递给您,所以你在那里很好。

它还可以检查它是否已被撤销,但您需要为其指定撤销列表(SSLCARevocationFile)。