Apache Tomcat SSL 问题

Question

我正在尝试将 Apache Tomcat 配置为使用带有客户端身份验证的 SSL 连接（双向身份验证）。我的证书是 CA 签名的。 如果我将 CA 证书与客户端证书一起放入 tomcat 信任库中，则一切正常。如果我不将 CA 证书放入 tomcat 信任库中，Tomcat 将不会信任客户端。

tomcat 信任库中是否需要 CA 证书？

如果我将 CA 证书放入 truststre 中，那么 Tomcat 将信任拥有由同一 CA 签名的证书的每个客户端。

Answer 1

是的，您需要信任库中的 CA。如果您不愿意将 CA 放入信任库中，则不应使用该 CA。

关于最后一段，您还可以检查客户端证书的可分辨名称以进行进一步授权。

Answer 2

您将信任或授权与身份验证混淆了。 SSL 证书的唯一目的是证明对等方就是他所说的那个人，即建立他的身份。在签署 CSR 之前，您需要决定是否信任该 CA 的身份验证程序，如果是，则将其证书放入信任库中。

您是否希望该身份访问系统的某些部分是一个完全不同的问题，您必须通过授予身份的角色数据库以不同的方式解决该问题。这是 LDAP 特别擅长的事情，但您也可以在 Tomcat 中使用 DBMS 甚至 XML 文件。查看 Tomcat Realms 了解如何执行此操作。

您绝对不能尝试使用信任库作为该数据库。这不是它的用途，也不是它或 PKI 设计的目的。这就是为什么您在尝试以这种方式使用它时遇到问题。