Tomcat [9.0.26] - 调用安全服务 - TrustStore 与 KeyStore 配置差异和问题
Tomcat [9.0.26] - Invoking secure service - TrustStore vs KeyStore Configuration Difference & Issues
Tomcat SSL configuration 是我们 Whosebug 论坛中一个被大量查询的区域 - 但是,尽管 Tomcat 声称设置起来很容易,但我仍然觉得最不被理解!
我正在使用 Tomcat 9.0.26 并且必须使用第三方 (https) 网络服务。我的麻烦开始了:).
首先是我的幸福无知和 Tomcat 文档堆积起来。我正在尝试设置 keystoreFile。只有在几次尝试之后才意识到密钥库和信任库之间的区别。简而言之,如果您希望部署在 tomcat 服务器上的应用程序通过安全的 HTTPS 协议提供服务,则需要密钥库。当您希望通过将证书存储在您的信任库中来使用另一个安全的 HTTPs Web 服务时,需要 TrustStore。默认的 tomcat SSL 文档会引导您进入密钥库而不是信任库。
因此继续设置信任库
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
truststoreFile="C:\cert\myCert.p12" truststorePass="mypass" truststoreType="PKCS12"
clientAuth="false" sslProtocol="TLS+SSLV3" />
得知SSLConfig元素已经产生,但是Tomcat9仍然支持上面定义的旧配置。我尝试使用 SSLConfig 也没有取得成果,这部分似乎很少记录。
我无法使用运行时参数,因为某些其他服务因以下参数而失败。
-Djavax.net.ssl.trustStore=C:\cert\myCert.p12 -Djavax.net.ssl.trustStorePassword=mypass -Djavax.net.ssl.trustStoreType=PKCS12
由于上述尝试仍未成功,需要有关我可以尝试解决此问题的指示的帮助。
问题终于解决了。以上对trust store的理解是正确的。但是在 SSL 握手期间,我的服务器需要交换客户端身份验证 "key"。这也是必须将相同的证书存储设置为 keyStore 的地方,并且 post 一切正常!!
-Djavax.net.ssl.trustStore=C:\cert\myCert.p12
-Djavax.net.ssl.trustStorePassword=mypass
-Djavax.net.ssl.trustStoreType=PKCS12
-Djavax.net.ssl.keyStore=C:\cert\myCert.p12
-Djavax.net.ssl.keyStorePassword=mypass
Tomcat SSL configuration 是我们 Whosebug 论坛中一个被大量查询的区域 - 但是,尽管 Tomcat 声称设置起来很容易,但我仍然觉得最不被理解!
我正在使用 Tomcat 9.0.26 并且必须使用第三方 (https) 网络服务。我的麻烦开始了:).
首先是我的幸福无知和 Tomcat 文档堆积起来。我正在尝试设置 keystoreFile。只有在几次尝试之后才意识到密钥库和信任库之间的区别。简而言之,如果您希望部署在 tomcat 服务器上的应用程序通过安全的 HTTPS 协议提供服务,则需要密钥库。当您希望通过将证书存储在您的信任库中来使用另一个安全的 HTTPs Web 服务时,需要 TrustStore。默认的 tomcat SSL 文档会引导您进入密钥库而不是信任库。
因此继续设置信任库
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
truststoreFile="C:\cert\myCert.p12" truststorePass="mypass" truststoreType="PKCS12"
clientAuth="false" sslProtocol="TLS+SSLV3" />
得知SSLConfig元素已经产生,但是Tomcat9仍然支持上面定义的旧配置。我尝试使用 SSLConfig 也没有取得成果,这部分似乎很少记录。
我无法使用运行时参数,因为某些其他服务因以下参数而失败。
-Djavax.net.ssl.trustStore=C:\cert\myCert.p12 -Djavax.net.ssl.trustStorePassword=mypass -Djavax.net.ssl.trustStoreType=PKCS12
由于上述尝试仍未成功,需要有关我可以尝试解决此问题的指示的帮助。
问题终于解决了。以上对trust store的理解是正确的。但是在 SSL 握手期间,我的服务器需要交换客户端身份验证 "key"。这也是必须将相同的证书存储设置为 keyStore 的地方,并且 post 一切正常!!
-Djavax.net.ssl.trustStore=C:\cert\myCert.p12 -Djavax.net.ssl.trustStorePassword=mypass -Djavax.net.ssl.trustStoreType=PKCS12 -Djavax.net.ssl.keyStore=C:\cert\myCert.p12 -Djavax.net.ssl.keyStorePassword=mypass