基于Tomcat中url配置HTTPS证书使用

Question

我正在开发一个web应用程序，它使用客户端证书在与泽西进行web服务调用时对Tomcat进行身份验证。到目前为止，这是很好的工作，但我需要一个网络前端的相同的上下文，让我管理这个应用程序。由于SSL配置是“每个上下文”，让前端使用https的唯一选项似乎是将客户端证书安装到访问浏览器，这也是tomcat的信任库中列出的(或者完全放弃了https的使用)。

为了说明我真正想要的：

1. https://url-to-webapp/ws <- Should use client certificate
2. https://url-to-webapp/web <- Should just use a server certificate

这在Tomcat配置中，甚至在应用程序代码中都能实现吗？

更新

我尝试了EJP建议的配置，但现在无论我使用证书，我都无法连接到Tomcat --在查找或其他方面，它似乎失败了。如果我在8080上创建了一个HTTP连接器，它会将我重定向到8443。这是我正在使用的配置。有什么想法吗？

tomcat-users.xml

<tomcat-users>
<role rolename="webservice"/>
<user username="CN=ClientCert,OU=Corp,O=Corp,L=London,S=London,C=UK" password="" roles="webservice"/>
</tomcat-users>

server.xml

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="c:\tomcat\keys\server.jks" keystorePass="password"
truststoreFile="c:\tomcat\keys\client.jks" truststorePass="password"/>

web.xml

[...]
    <security-constraint>
        <display-name>ClientCertificateRequired</display-name>
        <web-resource-collection>
            <web-resource-name>MyWebService</web-resource-name>
            <description/>
            <url-pattern>/webservice/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>webservice</role-name>
        </auth-constraint>
        <user-data-constraint>
            <description/>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>tomcat-users</realm-name>
    </login-config>
    <security-role>
        <description/>
        <role-name>webservice</role-name>
    </security-role>
    [...]
    <servlet>
        <display-name>Webservice</display-name>
        <servlet-name>Webservice</servlet-name>
        <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
        [...]
            <run-as>
            <role-name>webservice</role-name>
        </run-as>
    </servlet>
    [...]

Answer 1

您可以将Tomcat配置为使用客户端证书重新协商(与初始协商不同)，因此-或不请求客户端证书取决于请求的URL。

为此，您需要在连接器配置中使用clientAuth="false"，然后在要使用客户端证书保护的webapp中使用<auth-method>CLIENT-CERT</auth-method>。

请注意，这使用重新协商，因此您可能必须处理TLS重新协商错误问题。简而言之，在2009年11月左右发布了一个TLS协议缺陷。当前的安全修复是禁用重新协商(除非强制使用非安全选项)，然后实现RFC 5746。请参阅Oracle Java传输层安全性(TLS)重新协商问题中的第1阶段和第2阶段的修复。

对于您想要做的事情，您需要重新协商才能启用，而要使其安全，您必须使用JRE发行版1.6.0_22。

Answer 2

只需将第一个URL定义为安全的，并同时要求机密性和特定角色，并将web应用程序定义为使用SSL客户端身份验证。将第二个URL定义为不需要角色。这都是在web.XML中完成的，然后定义一个适当的域来检查身份并从中获取角色。