那些遇到过的问题

Apache HTTPD/mod_proxy/Tomcat和SSL与客户端身份验证

use*_*421 6 apache ssl tomcat mod-proxy mod-proxy-balancer

我确定这是一个FAQ,但我找不到任何我认为是同一个问题的东西.

我在Tomcat中运行了几个web应用程序,其中一些页面例如由SSL保护的登录页面,由web.xmls中的机密性元素定义.其中一个应用程序还通过证书接受客户端身份验证.我还有一个相当广泛的基于JAAS的授权和认证方案,各种webapps之间有各种共享代码和不同的JAAS配置等.

在完成下面的任务时,我真的不想打扰任何一个.

我现在正在添加更多Tomcat实例之前,在Tomcat之前插入带有mod-proxy和mod-proxy-balancer的Apache HTTPD作为负载均衡器.

我想要为HTTPS请求完成的是,它们被"盲目"重定向到Tomcat而没有HTTPD作为SSL端点,即HTTPD只是将密文直接传递给Tomcat,以便TC可以继续执行它已经在使用登录,SSL,Web做的事情.xml保密,最重要的是客户端身份验证.

这可能与我描述的配置有关吗?

我对webapps以及SSL和HTTPS以及Tomcat非常熟悉,但我对Apache HTTPD外围的了解有限.

很高兴在必要时移动它,但它是一种使用配置文件进行编程;)

Bru*_*uno 7

这听起来与这个问题类似,我回答说这是不可能的:

您不能仅通过Apache将SSL/TLS流量中继到Tomcat.您的SSL连接在Apache处结束,然后您应该将流量反向代理到Tomcat(SSL [在Httpd和Tomcat之间]在这种情况下很少有用),或者让客户端直接连接到Tomcat并让它处理SSL连接.

我承认,支持这一说法的链接有点缺失.我想我可能错了(我从未见过这样做过,但这并不严格意味着它不存在......).

如您所知,您需要在用户代理和SSL端点之间建立直接连接或完全中继的连接(在这种情况下,您希望它是Tomcat).这意味着Apache Httpd将无法查看URL:它将最多知道主机名(使用服务器名称指示时).

唯一似乎不依赖于mod_proxy文档中的URL的选项是AllowCONNECT,这是用于HTTPS的转发代理服务器的选项.

即使mod_proxy_balancer期望在配置的某个点处的路径的选项.它的文档没有提到SSL/HTTPS(" 它为HTTP,FTP和AJP13协议提供负载平衡支持 "),而mod_proxy在提到时至少谈到SSL CONNECT.

我会建议几个选项:

  • 使用iptables基于负载的平衡器,无需通过Httpd,直接结束Tomcat中的连接.

  • 在Httpd结束SSL/TLS连接并使用普通HTTP反向代理到Tomcat.

第二个选项需要更多配置来处理客户端证书和Tomcat的安全性约束.

如果您已配置了webapp <transport-guarantee>CONFIDENTIAL</transport-guarantee>,则需要使Tomcat将连接标记为安全,尽管它看到它们来自其纯HTTP端口.对于Tomcat 5,这里有一篇文章(最初是法语,但自动翻译并不太糟糕),描述了如何实现阀门设置isSecure().(如果您不熟悉阀门,它们类似于过滤器,但在请求传播到webapp之前在Tomcat本身内运行.它们可以在Catalina中配置)我认为从Tomcat 5.5开始,HTTP连接器secure选项完全正确那,不需要你自己的阀门.AJP连接器也有类似的选项(如果使用mod_proxy_ajpmod_jk).

如果使用AJP连接器,mod_proxy_ajp将转发链中的第一个证书并使其在Tomcat中可用(通过正常的请求属性).你可能需要SSLOptions +ExportCertData +StdEnvVars.mod_jk(虽然据我所知已弃用)也可以转发客户端发送的整个链(使用JkOptions +ForwardSSLCertChain).使用代理证书时这可能是必要的(如果没有链到其最终实体证书,这些证书毫无意义).

如果你想使用mod_proxy_http,一个技巧是通过HTTP标头(mod_header)传递证书,使用类似的东西RequestHeader set X-ClientCert %{SSL_CLIENT_CERT}s.我不记得确切的细节,但重要的是要确保清除此标题,以便它永远不会来自客户端的浏览器(否则可能会伪造它).如果您需要完整的链,您可以尝试这个Httpd补丁尝试.这种方法可能需要额外的阀门/过滤器来将标头转换为javax.servlet.request.X509Certificate(通过解析PEM块).

其他几点可能会引起关注:

  • 如果我记得很清楚,您需要为Httpd显式下载CRL文件并将其配置为使用它们.根据您使用的Httpd版本,您可能必须重新启动它才能重新加载CRL.
  • 如果您正在使用重新协商来获取客户CLIENT-CERT端证书,则据我所知,指令不会使Httpd请求客户端证书(否则通过可以在SSLSession直接使用JSSE连接器时访问的阀门来完成).您可能必须在Httpd中配置匹配路径以请求客户端证书.

归档时间:

查看次数:

12245 次

最近记录:

13 年,5 月 前
Tomcat落后于Apache和SSL 9
更多相关链接
相关归档
在UIWebview中允许未验证的ssl证书 25
SSL失败 - 在将HttpWebRequest与客户端证书一起使用时接收SSL/TLS异常 13
Apache相当于Nginx`agex_buffering off` 8
在JBoss上安装SSL证书 6
使用Docker设置Java开发环境 6
PHP 5.6,MySQL,SSL和自签名证书 5
如何在 log4j2 fileName 中使用当前日期模式? 5
在tomcat中配置Content-Security-Policy 5
MacOS更新到High Sierra之后,PHP无法正常工作 5
需要用户名和密码 3
难疑归档
适用于Android UserManager.isUserAGoat()的用例? 3506
需要一个没有任何子弹的无序列表 2408
将字符串转换为datetime 2035
如何格式化Microsoft JSON日期? 1954
如何在Linux shell脚本中提示是/否/取消输入? 1352
如何在SQL中使用JOIN执行UPDATE语句? 1262
如何正确强制推送Git? 1206
如何让jQuery执行同步而非异步的Ajax请求? 1173
按列名从pandas DataFrame中删除列 1136
在拉动期间解决Git合并冲突以支持其更改 1104