是否可以禁用 Tomcat 检查定义 SSL 证书用途(服务器、客户端)的扩展密钥用法?
在我的证书中,扩展密钥用法(用途)设置为 SSLServer,但我也需要此证书进行客户端身份验证。
我想知道是否可以在 Tomcat 中跳过此检查?
问问题
705 次
1 回答
0
不,这是不可能的。
首先,任何“使用”证书的人(即必须验证和验证它的实体)都有责任检查属性。如果您想使用 Tomcat 服务器中的应用程序使用客户端身份验证连接到另一台服务器,那么就该连接而言,您在 Tomcat 中的应用程序就是客户端。由您连接的服务器决定它要检查的内容(如果此扩展存在并且它是否可以理解它,它确实会检查扩展的密钥使用情况)。
其次,从您这边更改扩展密钥使用扩展将意味着更改证书本身。从本质上讲,这应该只有在 CA 进行这些修改并相应地为您提供新证书的情况下才有可能。
话虽如此,许多 CA 似乎在他们为服务器颁发的证书中同时启用了 TLS Web 服务器身份验证 (1.3.6.1.5.5.7.3.1) 和 TLS Web 客户端身份验证 (1.3.6.1.5.5.7.3.2) ,没有任何额外的选项。
于 2012-06-14T13:15:16.560 回答