我已经对我的 Tomcat 服务器实施了客户端身份验证。我已经分发了使用我自己的 CA crt 和 openSSL 生成的客户端 X509 证书和 JKS。现在我想使用 CRL 来阻止我的一些客户。如何将 CRL 添加到 tomcat?...我在这方面没有从 Google 那里找到任何帮助。
问问题
1970 次
1 回答
0
我在回答我自己的问题..在 tomcat 连接器标签中,您有 crlFile 参数,可以使用 openssl 生成。命令看起来像这样
openssl ca -config openssl.my.cnf -revoke certs/server.crt
openssl ca -config openssl.my.cnf -gencrl -out crl/myca.crl
并且文件 myca.crl 将在 tomcat 的连接器标记中更新,看起来像这样
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="true"
sslProtocol="TLS"
keystoreFile="one.mamoi.semdev.com.pkcs12"
keystoreType="PKCS12"
keystorePass="changeit"
truststoreFile="server.truststore"
truststorePass="changeit"
truststoreType="JKS"
crlFile="/home/ubuntu/myCA/crl/myca.crl"/>
于 2012-05-08T10:29:42.093 回答