我有一个在 Jetty 中运行的应用程序。在它前面,我有一个负载均衡器。要求是由负载均衡器完成 SSL 解密,而 Web 容器仅执行 SSL 客户端身份验证。
理论上,负载均衡器在解密内容方面非常有效,并且可以做到这一点并将其直接传递给 Web 容器。
知道如何实现吗?
我有一个在 Jetty 中运行的应用程序。在它前面,我有一个负载均衡器。要求是由负载均衡器完成 SSL 解密,而 Web 容器仅执行 SSL 客户端身份验证。
理论上,负载均衡器在解密内容方面非常有效,并且可以做到这一点并将其直接传递给 Web 容器。
知道如何实现吗?
目前尚不清楚标题中的“空密码”是什么意思。有3 个可能的候选者:TLS_NULL_WITH_NULL_NULL
和。第一个不执行任何身份验证,它们都不提供任何加密。它们肯定对你的目标毫无用处。在浏览器和负载平衡器之间使用普通密码套件(具有身份验证和加密)。负载均衡器和工作节点之间的加密通常是可选的,只有当您不信任它们所在的网络时才需要(无论如何这将是一个完全不同的 SSL/TLS 连接,并且与客户端证书无关由最终浏览器完成的身份验证)。TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA
只有 SSL/TLS 服务器可以请求(和验证)客户端证书身份验证。在这种情况下,这将是负载平衡器。
如果您想让负载均衡器处理 SSL/TLS 流量,它应该验证证书(可能针对您配置的 CA),然后将证书信息中继到工作节点。
你如何做到这一点将取决于负载平衡器。如果是 Apache Httpd 服务器,mod_proxy_ajp
将通过 AJP 协议 ( SSLOptions +ExportCertData +StdEnvVars
) 中继客户端证书。mod_jk
如果需要,还能够中继完整的客户端证书链 ( JkOptions +ForwardSSLCertChain
)。
如果您想使用mod_proxy_http
,一个技巧是通过 HTTP 标头 ( mod_header
) 传递证书,使用类似RequestHeader set X-ClientCert %{SSL_CLIENT_CERT}s
. 如果此标头来自客户端的浏览器(否则可能伪造),您应该确保清除此标头。在这种情况下,您需要编写一个过滤器作为 Jetty 服务器的一部分来处理该标头并将其放入javax.servlet.request.X509Certificate
HttpServletRequest
属性中(它应该是一个 数组X509Certificate
)。在此之后,您应该或多或少与 AJP 处于同一阶段。如果它们能够以类似的方式填充 HTTP 标头,这也可以与其他负载平衡器一起使用。