我有一位客户询问了有关签署 tomcat 组件以及我们应用程序中的不同 jar 的问题。基本上,他们想防止任何人只是放入一个 jar 文件,重新启动 tomcat 并造成安全问题。
我的问题是,是否可以配置 tomcat,以便在加载 jar 文件时验证它们是否已由特定证书签名,如果没有则阻止 tomcat 启动?
最佳答案
Tomcat 本身不提供这个功能。但是,作为一种解决方法,您可以与您的客户一起使用 DMZ 服务器或他们服务器上的一个位置,您可以在其中放置文件。然后他们可以让作业调度程序运行批处理脚本(在 windows 上)或 shell 脚本(在 linux/unix 平台上)以使用 jarsigner 工具检查新到达的文件/jar 文件。 如果文件通过测试,则可以将它们移动到 tomcat 的 Deploy 目录,否则应向服务器管理员发送一封关于此未签名文件的电子邮件。
命令示例:
jarsigner -verify jar-file
http://docs.oracle.com/javase/tutorial/deployment/jar/verify.html
关于java - 可以将tomcat配置为仅加载签名的jar吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21886778/