我正在使用WSO2 Identity Server 5.10。 我需要添加对X509身份验证的支持,并且正在阅读有关X509证书身份验证here的文档。 为了添加配置,我不得不按照建议的here
修改catalina-server.xml.j2
文件
这样就可以了,但是我有一个非常大的端口混合在一起....无论如何,让我们假设它可以工作。
现在我遇到了这个问题:我需要在K8S群集中部署WSO2 Identity Server。因此,基本上,我有一个nginx入口控制器,它将管理到后端的所有流量。
我在本地所做的是放置一个简单的nginx反向代理并配置WSO2身份服务器以使用此代理。因此,在我的deployment.toml
中,我做了以下
[custom_trasport.x509.properties]
protocols="HTTP/1.1"
port="8443"
maxThreads="200"
scheme="https"
secure=true
SSLEnabled=true
keystoreFile="mykeystore.jks"
keystorePass="pwd"
truststoreFile="myclient_trust.jks"
truststorePass="myclient_trust_pwd"
bindOnInit=false
clientAuth="want"
sslProtocol = "TLS"
proxyPort="443"
[authentication.authenticator.x509_certificate.parameters]
name ="x509CertificateAuthenticator"
enable=true
AuthenticationEndpoint="https://$ref{server.hostname}:8443/x509-certificate-servlet"
username= "CN"
SearchAllUserStores="false"
EnforceSelfRegistration = "false"
SearchAndValidateUserLocalStores = "false"
[transport.https.properties]
proxyPort="443"
通过这种方式,当我想使用X509证书身份验证登录时,它将要求我提供证书,但是当我选择该证书时,它会显示错误,因为它无法在浏览器请求中找到该证书
此外,我不认为我应该离开AuthenticationEndpoint="https://$ref{server.hostname}:8443/x509-certificate-servlet"
,因为这意味着提交将提交到从未在Internet上公开的8443端口。
有人解决了这个问题吗?基本上,问题是:如何在代理(例如nginx)后面配置X509证书身份验证?
任何小费都很珍贵。
谢谢
天使
答案 0 :(得分:0)
我想我解决了我面临的问题。
基本上,当我有一个reverse_proxy(例如nginx)时,证书不会到达request属性中的tomcat。
我所做的是配置reverse_proxy以将证书放置为HTTP标头,而不对其进行验证;我将在服务器端进行验证。
所以现在我的nginx配置是:
server {
listen 443;
server_name wso2_iam;
ssl on;
ssl_certificate certificate_full_path.crt;
ssl_certificate_key full_path_to_kwy_no_pwd.key;
ssl_verify_client optional_no_ca;
location /x509-certificate-servlet/ {
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
proxy_read_timeout 5m;
proxy_send_timeout 5m;
proxy_pass https://127.0.0.1:8443/x509-certificate-servlet;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location / {
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
proxy_read_timeout 5m;
proxy_send_timeout 5m;
proxy_pass https://127.0.0.1:9443/;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
error_log /var/log/nginx/wso2-error.log;
access_log /var/log/nginx/wso2-access.log;
}
ssl_verify_client optional_no_ca;
告诉nginx检索证书,但不对其进行验证。
proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
指令告诉nginx将证书PEM放在名为X-SSL-CERT
的请求标头中
然后,我修改了org.wso2.carbon.identity.authenticator.x509Certificate.X509CertificateAuthenticator
,以便在http请求属性中找不到证书时在请求标头之间搜索证书。
它似乎正在工作。
谢谢大家
天使