Как включить необязательные запросы клиентских сертификатов в GlassFish?

На сайте блога (запрошена клиентская аутентификация в GlassFish):

In domain.xml, please add the following property to http-listener element
<property name="com.sun.grizzly.ssl.auth" value="want"/>

Однако при добавлении этого в мой домен GlassFish v3.xml существующий сертификат клиента браузера не запрашивается. Сервер GlassFish настроен правильно, т. е. требует клиентских сертификатов с параметром «client-auth-enabled», установленным в значение true.

Багтрекер GlassFish (1) упоминает другую версию:

 * client-auth: want/need/<blank>

Однако и это свойство не принимается.

У других такая же проблема (2).

Как я могу включить необязательный запрос сертификата клиента в GlassFish? Есть ли альтернативы?

(1) http://java.net/jira/browse/GLASSFISH-6935
(2) https://stackoverflow.com/questions/3634129/configure-glassfish-v3-client-auth-requested-to-want


java ssl client-certificates glassfish glassfish-3
person Michael Schmidt    schedule 18.01.2011    source источник
comment
Согласно этой проблеме JIRA, она была добавлена ​​в GlassFish 3.1.2. Любая версия до этого не будет иметь этой функции.   -  person Hiro2k    schedule 14.12.2012

Ответы (1)


arrow_upward
2
arrow_downward

Наверное, потому что его нет.

* Когда вы имеете дело с клиентскими сертификатами в HTTPS, помните о конфигурации прослушивателя HTTPS. Протокол SSLv3/TLS допускает три режима для сокета HTTPS.

* The traditional mode requires a single server certificate. An HTTPS client (typically a web browser) validates the server identity by matching the certificate to a list, or truststore, of Certificate Authorities. You probably use this mode every day during typical log-in activity.

* Another mode requires both client and server certificates. The client certificate is validated by the server side, and the server certificate is validated by the client side.

* The third mode requires a server certificate, but the client certificate is optional.

* В реальном мире вы хотите использовать один и тот же URL-адрес HTTPS, независимо от того, аутентифицируется ли пользователь с помощью пароля или сертификата. Для этого подхода требуется сервер, поддерживающий третий, необязательный режим сертификата клиента. На момент написания этой статьи сервер приложений GlassFish не поддерживает этот режим. К счастью, в качестве альтернативы доступен веб-сервер Apache Tomcat, поддерживаемый OpenSSO. Для справки

person Ba Nguyen    schedule 02.06.2011