Kla*_*aus 0 java encryption ssl jetty
我有一个在Jetty中运行的应用程序.在它面前,我有一个负载平衡器.要求是由负载均衡器完成SSL解密,而Web容器仅执行SSL客户端身份验证.
理论上说,负载均衡器在解密内容方面非常有效,并且可以做到这一点并将其简单地传递给Web容器.
知道如何实现这一目标吗?
目前还不清楚你的标题中的"Null Cipher"是什么意思.有3名可能的候选人:TLS_NULL_WITH_NULL_NULL,TLS_RSA_WITH_NULL_MD5和TLS_RSA_WITH_NULL_SHA.第一个不执行任何身份验证,它们都不提供任何加密.它们对你的目标肯定没用.在浏览器和负载均衡器之间使用普通密码套件(包括身份验证和加密).负载均衡器和工作节点之间的加密通常是可选的,只有在您不信任它们所在的网络时才需要(这将是一个完全不同的SSL/TLS连接,并且与客户端证书无关)由最终浏览器完成的身份验证).
只有SSL/TLS服务器可以请求(并验证)客户端证书身份验证.在这种情况下,这将是负载平衡器.
如果您希望负载均衡器处理您的SSL/TLS流量,它应该验证证书(可能是针对您已配置的CA),然后将证书信息中继到工作节点.
如何执行此操作取决于负载均衡器.如果它是Apache Httpd服务器,mod_proxy_ajp将通过AJP协议(SSLOptions +ExportCertData +StdEnvVars)中继客户端证书.mod_jk如果需要,也可以中继完整的客户端证书链(JkOptions +ForwardSSLCertChain).
如果你想使用mod_proxy_http,一个技巧是通过HTTP标头(mod_header)传递证书,使用类似的东西RequestHeader set X-ClientCert %{SSL_CLIENT_CERT}s.如果它来自客户端的浏览器(否则可以伪造它),您应该确保清除此标头.在这种情况下,您需要编写一个过滤器作为Jetty服务器的一部分来处理该标头,并将其置于javax.servlet.request.X509Certificate HttpServletRequest属性中(它应该是一个数组X509Certificate).在此之后,您应该或多或少地处于与AJP相同的阶段.如果它们能够以类似的方式填充HTTP标头,这也可以与其他负载平衡器一起使用.
| 归档时间: |
|
| 查看次数: |
1835 次 |
| 最近记录: |