Question

我正在使用WSO2 Identity Server 5.10。我需要添加对X509身份验证的支持，并且正在阅读有关X509证书身份验证here的文档。为了添加配置，我不得不按照建议的here

修改catalina-server.xml.j2文件

这样就可以了，但是我有一个非常大的端口混合在一起....无论如何，让我们假设它可以工作。

现在我遇到了这个问题：我需要在K8S群集中部署WSO2 Identity Server。因此，基本上，我有一个nginx入口控制器，它将管理到后端的所有流量。

我在本地所做的是放置一个简单的nginx反向代理并配置WSO2身份服务器以使用此代理。因此，在我的deployment.toml中，我做了以下

[custom_trasport.x509.properties]
protocols="HTTP/1.1"
port="8443"
maxThreads="200"
scheme="https"
secure=true
SSLEnabled=true
keystoreFile="mykeystore.jks"
keystorePass="pwd"
truststoreFile="myclient_trust.jks"
truststorePass="myclient_trust_pwd"
bindOnInit=false
clientAuth="want"
sslProtocol = "TLS"
proxyPort="443"


[authentication.authenticator.x509_certificate.parameters]
name ="x509CertificateAuthenticator"
enable=true
AuthenticationEndpoint="https://$ref{server.hostname}:8443/x509-certificate-servlet"
username= "CN"
SearchAllUserStores="false"
EnforceSelfRegistration = "false"
SearchAndValidateUserLocalStores = "false"


[transport.https.properties]
proxyPort="443"

通过这种方式，当我想使用X509证书身份验证登录时，它将要求我提供证书，但是当我选择该证书时，它会显示错误，因为它无法在浏览器请求中找到该证书

此外，我不认为我应该离开AuthenticationEndpoint="https://$ref{server.hostname}:8443/x509-certificate-servlet"，因为这意味着提交将提交到从未在Internet上公开的8443端口。

有人解决了这个问题吗？基本上，问题是：如何在代理（例如nginx）后面配置X509证书身份验证？

任何小费都很珍贵。

谢谢

天使

Answer 1

我想我解决了我面临的问题。

基本上，当我有一个reverse_proxy（例如nginx）时，证书不会到达request属性中的tomcat。

我所做的是配置reverse_proxy以将证书放置为HTTP标头，而不对其进行验证；我将在服务器端进行验证。

所以现在我的nginx配置是：

server {
        listen 443;
        server_name wso2_iam;
        ssl on;
        ssl_certificate certificate_full_path.crt;
        ssl_certificate_key full_path_to_kwy_no_pwd.key;
        ssl_verify_client optional_no_ca;

       
        location /x509-certificate-servlet/ {
                   proxy_set_header X-Forwarded-Host $host;
                   proxy_set_header X-Forwarded-Server $host;
                   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                   proxy_set_header Host $http_host;
                   proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
                   proxy_read_timeout 5m;
                   proxy_send_timeout 5m;
                   proxy_pass https://127.0.0.1:8443/x509-certificate-servlet;

                   proxy_http_version 1.1;
                   proxy_set_header Upgrade $http_upgrade;
                   proxy_set_header Connection "upgrade";
        }
        location / {
                   proxy_set_header X-Forwarded-Host $host;
                   proxy_set_header X-Forwarded-Server $host;
                   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                   proxy_set_header Host $http_host;
                   proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
                   proxy_read_timeout 5m;
                   proxy_send_timeout 5m;
                   proxy_pass https://127.0.0.1:9443/;

                   proxy_http_version 1.1;
                   proxy_set_header Upgrade $http_upgrade;
                   proxy_set_header Connection "upgrade";
            }
        error_log  /var/log/nginx/wso2-error.log;
        access_log  /var/log/nginx/wso2-access.log;
}

ssl_verify_client optional_no_ca;告诉nginx检索证书，但不对其进行验证。

proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;指令告诉nginx将证书PEM放在名为X-SSL-CERT的请求标头中

然后，我修改了org.wso2.carbon.identity.authenticator.x509Certificate.X509CertificateAuthenticator，以便在http请求属性中找不到证书时在请求标头之间搜索证书。

它似乎正在工作。

谢谢大家

天使

代理后面的WSO2身份服务器X509身份验证

1 个答案: