аутентификация клиента ssl без пересмотра ssl

Question

На стороне клиента у меня есть клиент Apache HTTP на jdk5u22.На стороне сервера у меня есть tomcat на jdk6u27.

С этой настройкой, если я пытаюсь аутентифицировать клиента SSL (двухсторонний SSL), то это вызывает «javax.net.ssl.SSLHandshakeException: небезопасное пересмотр не разрешен» на сервереи рукопожатие не удается.Это успешно, если я устанавливаю системные свойства sun.security.ssl.allowUnsafeRenegotiation = true и sun.security.ssl.allowLegacyHelloMessages = true на сервере.

По ссылке http://www.oracle.com/technetwork/java/javase/documentation/tlsreadme2-176330.html это потому, что JRE6u27 имеетреализация RFC 5746 и JRE5u26 ниже не имеют этого, и поэтому оба несовместимы.К сожалению, 5u22 является последней свободно доступной версией Java 5.Поэтому я хочу знать, возможно ли иметь SSL-аутентификацию клиента без повторного согласования с ssl.

С уважением, Литти Преет

Answer 1

Согласно сайту redhat https://access.redhat.com/kb/docs/DOC-20491#Renegotiations_disabled_in_Apache_Tomcat: Tomcat может попросить клиента пересмотреть условия в определенных конфигурациях, используя аутентификацию сертификата клиента, например, конфигурации, в которых: сертификат клиента не требуется при первоначальном подключении,например, когда: 1. Атрибут clientAuth соединителя HTTPS, использующего JSSE, имеет значение false.Или для атрибута SSLVerifyClient соединителя HTTPS, использующего OpenSSL, задано значение none.И 2. Веб-приложение указывает метод аутентификации CLIENT-CERT в разделе login-config файла приложения web.xml.

Поэтому, чтобы избежать повторных переговоров в tomcat, просто сделайте весь сайт безопасныма не только его часть, устанавливая clientAuth = "true" для ssl.

Надеюсь, это кому-нибудь поможет.

С уважением, Литти