Apache Tomcat SSL问题

Question

我正在尝试将Apache Tomcat配置为使用SSL连接和客户端身份验证(双向身份验证)。我的证书是CA签名的。如果我把CA证书和客户端证书放在一起，放在tomcat信任库中，一切都是正常的。如果我不把CA证书放在tomcat信任库中，Tomcat就不会信任客户端。

我是否需要tomcat信任库中的CA证书？

如果我将CA证书放在truststre中，那么Tomcat将信任具有由同一CA签名证书的每个客户端。

Answer 1

您将信任或授权与身份验证相混淆。SSL证书的唯一目的是证明对等体是他所说的那个人，即建立他的身份。您需要决定是否信任该CA在签署CSR之前验证身份的过程，如果信任，则将其证书放入信任库。

您是否希望该身份访问系统的各个部分是一个完全不同的问题，您必须通过授予身份的角色数据库以不同的方式解决这个问题。这是LDAP特别擅长的，但您也可以在Tomcat中使用DBMS甚至XML文件。看看Tomcat Realms，了解如何做到这一点。

您不能做的是尝试使用信任库作为该数据库。这不是它的目的，也不是它或PKI设计的目的。这就是为什么你在尝试那样使用它时会遇到问题。

Answer 2

是的，您需要信任存储中的CA。如果您不愿意将CA放在信任库中，则不应使用CA。

关于您的最后一段，您还可以检查客户证书的可分辨名称以进行进一步授权。