我正在尝试在客户端计算机上使用DOD颁发的CAC,ActivClient和IE启用部署在JBoss 4.2.3上的Web应用程序以进行客户端证书身份验证。作为概念验证,我能够使用软证书(生成的自签名证书,转换为PKCS12格式并导入到IE)为JMX控制台提供客户端证书身份验证。我也可以使用我的示例(演示)CAC在线对TriCare进行身份验证,大概是为了演示用户。
但是,我尝试从CAC导出certficate,并将其导入我的JKS信任库,使用CN条目作为别名(不确定是否必要),它根本不起作用。我在JBoss日志中收到“链中的空证书”的错误,并且客户端没有提示选择证书或输入PIN。我最好的理论是我在信任库中没有证书,所以它不知道客户要求的证书,但我不知道如何证实这种怀疑,或者可能出错。
使用Apache面向JBoss会使这个过程更容易吗? (这是一个内部应用程序,所以我们只是让JBoss成为Web服务器。)
升级到不太古老的JBoss版本有帮助吗?
是否有调试语句可以启用某个地方,让我更清楚地了解正在发生的事情?
是否有某处的逐步文档?我如何获得这方面的专业知识?我一直在拼凑我的解决方案,基于JBoss 4在线文档,“JBoss in Action”,“核心安全模式”以及一些在此处触及此问题的Q& A.
任何帮助将不胜感激!
答案 0 :(得分:0)
您最好的选择是下载DoD PKI的整个CA证书链。这将包括根CA证书以及所有从属CA证书。您应该将所有这些放在JBoss信任存储中,从根CA证书开始。从那里开始,我将查看JBoss文档,了解有关为JBoss配置相互认证的SSL的更多信息,如有必要。如果从Truststore的角度设置所有内容,那么对于最基本的情况,这应该是您所需要的。当您通过Web浏览器进行连接时,它会提示您选择要进行身份验证的证书。
如果这不起作用,请发布堆栈跟踪或错误。我会来找你。