Spring Cloud Vault 双向 TLS 身份验证问题
Spring Cloud Vault mutual TLS authentication issue
我正在尝试设置一个 spring 启动应用程序以通过 TLS 与我的 Vault 服务器通信。我想使用相互证书身份验证。我可以使用 TLS 设置 Vault 服务器,并且能够使用 CLI 使用客户端证书登录到它。但是,spring 引导应用程序无法向 Vault 服务器提供其客户端证书 - 每次我 运行 我的应用程序时,Vault 服务器都会打印:
http: TLS handshake error from 127.0.0.1:33288: tls: client didn't provide a certificate
客户端(我的 spring 引导应用程序)打印:
org.springframework.vault.authentication.VaultLoginException:
Cannot login using org.springframework.web.client.ResourceAccessException:
I/O error on POST request for "https://localhost:8200/v1/auth/cert/login":
Received fatal alert: bad_certificate;
nested exception is javax.net.ssl.SSLHandshakeException:
Received fatal alert: bad_certificate
... (a stack trace for VaultLoginException)
这是我的 bootstrap.yml:
spring:
application.name: vault-demo
cloud.vault:
host: localhost
port: 8200
scheme: https
uri: https://localhost:8200
connection-timeout: 5000
read-timeout: 15000
config.order: -10
authentication: CERT
ssl:
trust-store: classpath:keystore.jks
trust-store-password: changeit
key-store: classpath:client-cert.jks
key-store-password: changeit
cert-auth-path: cert
我找不到关于需要在 spring.cloud.vault.* 下配置的各种属性的任何文档。
我的 client-cert.jks 商店有客户端证书和密钥。启用 SSL 详细日志,我可以看到:
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
这表示客户端在其信任库中找到了服务器的证书,但它没有将客户端的证书发送到服务器。
另外,如果我使用curl发送登录请求,则成功:
curl -k --request POST \
--cert work/ca/certs/client.cert.pem \
--key work/ca/private/client.decrypted.key.pem \
--data @payload.json \
https://localhost:8200/v1/auth/cert/login
# gives me back a JSON with newly issued token.
我也尝试使用配置 class 并将 javax.net.ssl.keyStore 和相关属性作为 JAVA_OPTS 传递,但绝对没有区别 - 保险库一直说客户端没有' t 发送证书:
@Configuration
public class AppConfig extends AbstractVaultConfiguration {
@Value("${vault.uri}")
URI vaultUri;
@Override
public VaultEndpoint vaultEndpoint() {
return VaultEndpoint.from(vaultUri);
}
@Override
public ClientAuthentication clientAuthentication() {
try {
RestTemplate restTemplate = new RestTemplate();
HttpClientBuilder httpClientBuilder = HttpClients.custom()
.setSSLContext(SSLContext.getDefault())
.useSystemProperties();
restTemplate.setRequestFactory(
new HttpComponentsClientHttpRequestFactory(
httpClientBuilder.build()));
return new ClientCertificateAuthentication(restTemplate);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
}
任何人都可以指出我遗漏/做错了什么?
问题是我的 Vault 配置没有正确指定 tls_client_ca_file 属性。将其设置为根 CA 证书,一切正常。也不需要添加 AppConfig class。
我正在尝试设置一个 spring 启动应用程序以通过 TLS 与我的 Vault 服务器通信。我想使用相互证书身份验证。我可以使用 TLS 设置 Vault 服务器,并且能够使用 CLI 使用客户端证书登录到它。但是,spring 引导应用程序无法向 Vault 服务器提供其客户端证书 - 每次我 运行 我的应用程序时,Vault 服务器都会打印:
http: TLS handshake error from 127.0.0.1:33288: tls: client didn't provide a certificate
客户端(我的 spring 引导应用程序)打印:
org.springframework.vault.authentication.VaultLoginException:
Cannot login using org.springframework.web.client.ResourceAccessException:
I/O error on POST request for "https://localhost:8200/v1/auth/cert/login":
Received fatal alert: bad_certificate;
nested exception is javax.net.ssl.SSLHandshakeException:
Received fatal alert: bad_certificate
... (a stack trace for VaultLoginException)
这是我的 bootstrap.yml:
spring:
application.name: vault-demo
cloud.vault:
host: localhost
port: 8200
scheme: https
uri: https://localhost:8200
connection-timeout: 5000
read-timeout: 15000
config.order: -10
authentication: CERT
ssl:
trust-store: classpath:keystore.jks
trust-store-password: changeit
key-store: classpath:client-cert.jks
key-store-password: changeit
cert-auth-path: cert
我找不到关于需要在 spring.cloud.vault.* 下配置的各种属性的任何文档。
我的 client-cert.jks 商店有客户端证书和密钥。启用 SSL 详细日志,我可以看到:
*** ServerHelloDone
Warning: no suitable certificate found - continuing without client authentication
*** Certificate chain
这表示客户端在其信任库中找到了服务器的证书,但它没有将客户端的证书发送到服务器。
另外,如果我使用curl发送登录请求,则成功:
curl -k --request POST \
--cert work/ca/certs/client.cert.pem \
--key work/ca/private/client.decrypted.key.pem \
--data @payload.json \
https://localhost:8200/v1/auth/cert/login
# gives me back a JSON with newly issued token.
我也尝试使用配置 class 并将 javax.net.ssl.keyStore 和相关属性作为 JAVA_OPTS 传递,但绝对没有区别 - 保险库一直说客户端没有' t 发送证书:
@Configuration
public class AppConfig extends AbstractVaultConfiguration {
@Value("${vault.uri}")
URI vaultUri;
@Override
public VaultEndpoint vaultEndpoint() {
return VaultEndpoint.from(vaultUri);
}
@Override
public ClientAuthentication clientAuthentication() {
try {
RestTemplate restTemplate = new RestTemplate();
HttpClientBuilder httpClientBuilder = HttpClients.custom()
.setSSLContext(SSLContext.getDefault())
.useSystemProperties();
restTemplate.setRequestFactory(
new HttpComponentsClientHttpRequestFactory(
httpClientBuilder.build()));
return new ClientCertificateAuthentication(restTemplate);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
}
任何人都可以指出我遗漏/做错了什么?
问题是我的 Vault 配置没有正确指定 tls_client_ca_file 属性。将其设置为根 CA 证书,一切正常。也不需要添加 AppConfig class。