apache - 在 Apache Ace 和管理代理之间启用 SSL 身份验证

标签 apache openssl ssl-certificate apache-ace

我正在尝试在 Apache Ace 和管理代理之间启用两种方式的 ssl 身份验证(通过遵循文档 http://ace.apache.org/dev-doc/design/using-client-certificates.html )。为了实现这一点,首先我按照下面提到的步骤创建了所需的证书:

步骤#1)通过执行以下命令,使用 OpenSSL 创建一个自签名证书颁发机构:

openssl req -x509 -new -config Certi/X509CA/openssl.cnf -days 365 -out Certi/X509CA/ca/new_ca.pem -keyout Certi/X509CA/ca/new_ca_pk.pem

此命令创建了证书 new_ca.pem 及其私钥 new_ca_pk.pem。

步骤#2) 使用以下命令将证书 new_ca.pem 导入名为 truststore 的 keystore 文件
keytool -import -alias truststore -keystore truststore -file new_ca.pem

步骤#3) 为管理代理创建证书,在名为 keystore-ma.jks 的 Java keystore 文件中可用。
keytool -genkey -dname "CN=<hostIP>, OU=IT, O=<Organization Name>, ST=UP, C=IN" -validity 365 -alias keystore-ma -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#4)创建一个CSR:
keytool -certreq -alias keystore-ma -file keystore-ma_csr.pem -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#5) 使用在步骤 1 中创建的证书颁发机构签署证书。
openssl ca -config X509CA/openssl.cnf -days 365 -cert C:/X509CA/ca/new_ca.pem -keyfile C:/X509CA/ca/new_ca_pk.pem -in C:/X509CA/ca/keystore-ma_csr.pem -out C:/X509CA/ca/keystore-ma.pem

步骤#6) 在名为 keystore-ma 的 kestore 文件中导入证书
keytool -import -alias keystore-ma -keystore keystore-ma -file keystore-ma.pem

遵循类似的步骤 (3-6) 来创建和签署证书或 ACE 服务器,在名为 keystore-server 的 Java keystore 文件中可用。

然后我更新了 Ace Server 的 Platform.properties 以包含其他属性并启动 Ace Server:
-Dorg.osgi.service.http.port.secure=8443
-Dorg.apache.felix.https.enable=true
-Dorg.apache.felix.https.truststore=/path/to/truststore
-Dorg.apache.felix.https.truststore.password=secret
-Dorg.apache.felix.https.keystore=/path/to/keystore-server
-Dorg.apache.felix.https.keystore.password=secret
-Dorg.apache.felix.https.clientcertificate=needs

使用以下命令启动 ace-launcher.jar:
java -Djavax.net.ssl.trustStore=/path/to/truststore -Djavax.net.ssl.trustStorePassword=secret -Djavax.net.ssl.keyStore=/path/to/keystore-ma -Djavax.net.ssl.keyStorePassword=secret -jar org.apache.ace.launcher-0.8.1-SNAPSHOT.jar  discovery=https://<Ace Server Ip>:8443 identification=MyTarget

我通过将发现网址更改为
 1) https://<Ace Server Ip>:8080
 2) http://<Ace Server Ip>:8080
 3) https://<Ace Server Ip>:8443

但目标未在 Ace 服务器中注册。我是否使用正确的 URL 通过 HTTPS 连接到 Ace 服务器?
另外如何确认我的 Ace 服务器是否配置为接受来自管理代理的 HTTPS 流量?

最佳答案

我看到您使用的专有名称 (DN) 不仅仅是一个通用名称。
按照惯例,主机名作为通用名称用于证书验证。如果您使用 CN=hostname-of-target 创建证书(IP 地址不够),它应该可以工作。

我可以为您解决 SSL 错误的另一个提示:对服务器使用 -Djavax.net.debug=ssl,它会吐出大量信息,但会提供有关正在发生的事情以及导致错误的原因的详细信息。

关于apache - 在 Apache Ace 和管理代理之间启用 SSL 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10907880/

上一篇:google-chrome - 如何在 Chrome 中从当前位置开始搜索

下一篇:netsuite - 如何使用多个术语创建 NetSuite SuiteTalk 搜索?

相关文章:

java - 使用 Apache POI 时出错

linux - 如何给目录恢复其 sudo 许可/权限?

Java SSL 工厂连接到 SSL 服务器(仅使用公钥和证书)

c++ - 使用 GCM(Galois 计数器模式)进行 AES 加密的 OpenSSL API

通过 Safari 和 Firefox 访问时的 Python SSL 服务器 SSLSocket SSLError

security - 证书对内网 SSL 有用吗?

ssl - SSL 证书如何影响网页排名?

PHP启动: oci8: Unable to initialize module

PHP编程段错误

c++ - Nextcloud 桌面客户端构建过程

©2024 IT工具网  联系我们