在客户端,我在jdk5u22上有Apache HTTP客户端。在服务器端,我在jdk6u27上有tomcat。
使用此设置,如果我尝试SSL客户端身份验证(双向SSL),则会导致服务器上出现“javax.net.ssl.SSLHandshakeException:不允许不安全的重新协商”,并且握手失败。如果我在服务器上设置系统属性sun.security.ssl.allowUnsafeRenegotiation = true和sun.security.ssl.allowLegacyHelloMessages = true,则会成功。
根据链接http://www.oracle.com/technetwork/java/javase/documentation/tlsreadme2-176330.html,这是因为JRE6u27具有RFC 5746实现,而下面的JRE5u26没有这个,因此两者都不兼容。不幸的是,5u22是最新的免费java 5版本。所以我想知道是否可以在没有ssl重新协商的情况下进行SSL客户端身份验证。
此致 Litty Preeth
答案 0 :(得分:4)
根据redhat网站https://access.redhat.com/kb/docs/DOC-20491#Renegotiations_disabled_in_Apache_Tomcat: Tomcat可能会要求客户端使用客户端证书身份验证在某些配置中重新协商,例如,配置位于: 初始连接不需要客户端证书,例如: 1.使用JSSE的HTTPS连接器的clientAuth属性设置为 假。或者使用HTTPS连接器的SSLVerifyClient属性 OpenSSL设置为none。 和 2. Web应用程序指定了CLIENT-CERT身份验证方法 应用程序的web.xml文件的login-config部分。
因此,为了避免在tomcat中重新协商,只需通过为ssl设置clientAuth =“true”来使整个站点安全,而不仅仅是其中的一部分。
希望这有助于某人。
此致 Litty