Проблема с Apache Tomcat SSL

Question

Я пытаюсь настроить Apache Tomcat для использования SSL-соединения с аутентификацией клиента (двухсторонняя аутентификация).Мои сертификаты подписаны CA.Если я помещу сертификат CA вместе с клиентскими сертификатами в хранилище доверенных сертификатов tomcat, то все в порядке.Если я не помещу сертификат CA в хранилище доверенных сертификатов tomcat, Tomcat не будет доверять клиентам.

Нужен ли мне сертификат CA в хранилище доверенных сертификатов tomcat?

Если я помещу сертификат CA в хранилище доверенных сертификатов, то Tomcatбудет доверять каждому клиенту, у которого есть сертификат, подписанный тем же CA.

Answer 1

Да, вам нужен центр сертификации в хранилище доверенных сертификатов.Если вы не хотите помещать ЦС в хранилище доверенных сертификатов, вам не следует использовать ЦС.

Что касается вашего последнего абзаца, вы также можете проверить отличительное имя клиентских сертификатов для дальнейшей авторизации.

Answer 2

Вы путаете доверие или авторизацию с аутентификацией. Единственная цель SSL-сертификатов состоит в том, чтобы доказать, что партнер является тем, кем, по его словам, он является, то есть установить его личность. Вам необходимо решить, доверяете ли вы процедурам этого ЦС для проверки личности до подписания CSR, и если да, поместите его сертификат в склад доверенных сертификатов.

Хотите ли вы, чтобы эта личность использовалась для доступа к частям вашей системы, - это совершенно другой вопрос, который вы должны решить по-другому, используя базу данных ролей, предоставленных удостоверениям. В этом особенно хорош LDAP, но вы также можете использовать СУБД или даже файл XML в Tomcat. Посмотрите на Tomcat Realms, как это сделать.

Чего нельзя делать, так это пытаться использовать хранилище доверенных сертификатов в качестве этой базы данных. Это не то, для чего это, и не цель, для которой это или PKI было разработано. Вот почему у вас возникают проблемы при попытке использовать его таким образом.