3

我正在尝试在 Apache Ace 和管理代理之间启用两种方式的 ssl 身份验证(通过遵循文档http://ace.apache.org/dev-doc/design/using-client-certificates.html)。为此,首先我按照以下步骤创建了所需的证书:

步骤#1) 通过执行以下命令使用 OpenSSL 创建一个自签名证书颁发机构:

openssl req -x509 -new -config Certi/X509CA/openssl.cnf -days 365 -out Certi/X509CA/ca/new_ca.pem -keyout Certi/X509CA/ca/new_ca_pk.pem

此命令创建了证书 new_ca.pem 及其私钥 new_ca_pk.pem。

步骤#2) 使用以下命令将证书 new_ca.pem 导入名为 truststore 的密钥库文件

keytool -import -alias truststore -keystore truststore -file new_ca.pem

步骤#3) 为管理代理创建证书,可在名为 keystore-ma.jks 的 Java 密钥库文件中找到。

keytool -genkey -dname "CN=<hostIP>, OU=IT, O=<Organization Name>, ST=UP, C=IN" -validity 365 -alias keystore-ma -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#4) 创建了一个 CSR:

keytool -certreq -alias keystore-ma -file keystore-ma_csr.pem -keypass secret -keystore keystore-ma.jks -storepass secret

步骤#5) 使用在步骤 1 中创建的证书颁发机构签署证书。

openssl ca -config X509CA/openssl.cnf -days 365 -cert C:/X509CA/ca/new_ca.pem -keyfile C:/X509CA/ca/new_ca_pk.pem -in C:/X509CA/ca/keystore-ma_csr.pem -out C:/X509CA/ca/keystore-ma.pem

Step#6) 在名为 keystore-ma 的 kestore 文件中导入证书

keytool -import -alias keystore-ma -keystore keystore-ma -file keystore-ma.pem

遵循类似的步骤 (3-6) 来创建证书或 ACE 服务器并对其进行签名,这些证书或 ACE 服务器在 Java 密钥库文件中可用,称为 keystore-server。

然后我更新了 Ace Server 的 Platform.properties 以包含其他属性并启动 Ace Server:

-Dorg.osgi.service.http.port.secure=8443
-Dorg.apache.felix.https.enable=true
-Dorg.apache.felix.https.truststore=/path/to/truststore
-Dorg.apache.felix.https.truststore.password=secret
-Dorg.apache.felix.https.keystore=/path/to/keystore-server
-Dorg.apache.felix.https.keystore.password=secret
-Dorg.apache.felix.https.clientcertificate=needs

使用以下命令启动 ace-launcher.jar:

java -Djavax.net.ssl.trustStore=/path/to/truststore -Djavax.net.ssl.trustStorePassword=secret -Djavax.net.ssl.keyStore=/path/to/keystore-ma -Djavax.net.ssl.keyStorePassword=secret -jar org.apache.ace.launcher-0.8.1-SNAPSHOT.jar  discovery=https://<Ace Server Ip>:8443 identification=MyTarget

我通过将发现 url 更改为多次尝试

 1) https://<Ace Server Ip>:8080
 2) http://<Ace Server Ip>:8080
 3) https://<Ace Server Ip>:8443

但目标未在 Ace 服务器中注册。我是否使用正确的 URL 通过 HTTPS 连接到 Ace 服务器?另外如何确认我的 Ace 服务器是否配置为接受来自管理代理的 HTTPS 流量?

4

1 回答 1

1

我看到您使用的专有名称 (DN) 不仅仅是一个通用名称。
按照惯例,作为公用名的主机名用于证书验证。CN=hostname-of-target如果您使用(IP 地址不够)创建证书,它应该可以工作。

另一个提示我可以给您解决 SSL 错误:-Djavax.net.debug=ssl用于服务器,它会吐出大量信息,但会提供有关正在发生的事情和导致错误的原因的详细信息。

于 2012-06-28T12:52:04.170 回答