是否可以禁用 Tomcat 对定义 SSL 证书用途(服务器、客户端)的扩展 key 使用情况的检查?
在我的证书中,扩展 key 用法(用途)设置为 SSLServer,但我也需要此证书来进行客户端身份验证。
我想知道是否可以在 Tomcat 中跳过此检查?
最佳答案
不,这不可能。
首先,任何“使用”证书的实体(即必须验证和验证证书的实体)都有责任检查属性。如果您想使用 Tomcat 服务器中的应用程序连接到另一台服务器,使用客户端身份验证,那么就该连接而言,Tomcat 中的应用程序就是客户端。这取决于您要连接的服务器来决定它要检查什么(如果存在此扩展并且它可以理解它,它确实会检查扩展 key 的使用)。
其次,从您这边更改扩展 key 使用扩展意味着更改证书本身。从本质上讲,这应该只有在 CA 进行这些修改并相应地为您提供新证书时才有可能。
话虽如此,许多 CA 似乎在其证书中启用了 TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2)服务器问题,没有任何额外选项。
关于tomcat 配置为不遵守证书的扩展 key 使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11033503/