码头-动态MTLS

Question

我很好奇是否有人知道如何在Jetty中实现动态MTLS解决方案？我们有一个需要进行设备身份验证的用例。出于安全考虑，我们希望每个设备都有一个不同的客户端证书。是否有一种方法可以使用客户端发送的证书动态地提取和验证服务器证书？我正在梳理SslContextFactory和ServerConnector java类，但是如果我扩展它们，则无法完全弄清楚应该覆盖哪种方法。任何帮助都将不胜感激。

Answer 1

规范的方法是每个设备都有一个用服务器证书SS签名的证书D。

请注意，服务器的签名证书SS可能与服务器的域证书不同(而且通常是这样)。

服务器(或您控制的类似机构)为新设备发出签名证书(使用SS签名的证书Dn )。基本上，服务器充当一个标准的证书颁发机构。

证书SS不需要由另一个授权机构签名，只要它是由服务器信任的(即它在服务器TrustStore中)。

没有必要扩展任何Jetty类，只需使用标准的PKI流程和工具，然后您只需要相应地配置Jetty。