tomcat被配置为不考虑证书扩展密钥用法

Question

是否可以禁用定义SSL证书用途(服务器、客户端)的扩展密钥用法的Tomcat检查？

在我的证书中，扩展密钥使用(用途)被设置为SSLServer，但是我也需要这个证书来进行客户端身份验证。

我想知道在Tomcat中是否可以跳过这个检查？

Answer 1

不，这不可能。

首先，任何“使用”证书的实体(即必须验证和验证它的实体)都有责任检查属性。如果您希望使用Tomcat服务器中的一个应用程序连接到另一个服务器，并使用客户端身份验证，那么就该连接而言，Tomcat中的应用程序就是一个客户端。这取决于您所连接的服务器来决定它想要检查什么(如果这个扩展存在，并且它是否能够理解它，它确实会检查扩展密钥的使用)。

其次，从您方更改扩展密钥使用扩展将意味着更改证书本身。从本质上讲，只有在CA进行这些修改并相应地为您提供新证书的情况下，这才是可能的。

也就是说，许多CA似乎在它们为服务器颁发的证书中启用了TLS Web服务器身份验证(1.3.6.1.5.5.7.3.1)和TLS Web客户端身份验证(1.3.6.1.5.5.7.3.2)，而没有任何额外的选项。