1

我使用 url 访问我的应用程序,即https://myIPAddress:8443/myWebApp/

我创建了myWebApp.xml包含以下上下文元素的文件并将其放在<tomcat_home>\conf\Catalina\localhost\

<Context>
 <Valve className="org.apache.catalina.authenticator.MySSLAuthenticator"/>
</Context>

MySSLAuthenticator.class 位于 jar 文件下,该文件位于<tomcat_home>\lib

但看起来 MySSLAuthenticator 并没有出现,因为我得到以下错误,我看到 SSLAuthenticator 的实例不是 MySSLAuthenticator

javax.net.ssl.SSLHandshakeException: null cert chain
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1884)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:266)
    at sun.security.ssl.ServerHandshaker.clientCertificate(ServerHandshaker.java:1631)
    at sun.security.ssl.ServerHandshaker.processMessage(ServerHandshaker.java:176)
    at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
    at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
    at sun.security.ssl.SSLSocketImpl.readDataRecord(SSLSocketImpl.java:884)
    at sun.security.ssl.AppInputStream.read(AppInputStream.java:102)
    at java.io.InputStream.read(InputStream.java:101)
    at org.apache.tomcat.util.net.jsse.JSSESupport.handShake(JSSESupport.java:181)
    at org.apache.tomcat.util.net.jsse.JSSESupport.getPeerCertificateChain(JSSESupport.java:148)
    at org.apache.coyote.http11.Http11Processor.action(Http11Processor.java:1120)
    at org.apache.coyote.Request.action(Request.java:349)
    at org.apache.catalina.authenticator.SSLAuthenticator.authenticate(SSLAuthenticator.java:135)
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:528)

我不确定这里缺少什么?tomcat 版本是 6.0.35

4

1 回答 1

1

在您的问题中没有提及相关Realm定义,这可能是导致错误的原因(null cert chain)。如果没有与请求关联的主体(如果之前没有执行成功的身份验证,则不太可能),SSLAuthenticator将调用身份验证领域。但是,在您的情况下,这Realm可能不存在,或者它确实存在,但以某种方式配置错误,因此 SSLAuthenticator 无法解释它。

您可以通过禁用您的自定义MySSLAuthenticator并使其首先与内置一起使用来验证这一点SSLAuthenticator。一旦你开始工作,然后尝试扩展 SSLAuthenticator。假设这就是你想要做的。

还建议将日志记录级别设置为调试,因为您可能会发现从扩展类记录的有用信息:

SSLAuthenticator及其父类AuthenticatorBase

关于你的类甚至没有被 tomcat 识别,最可能的答案是你已经在应用程序上下文中定义了它。Tomcat 阀可以与 , 相关联EngineHost并且Context按该顺序调用它们。因此,为什么 tomcat 永远不会到达您的最可能的答案Valve是内置SSLAuthenticator捕获(并跌倒)Engine级别上的请求。因此,永远无法达到后续HostContext级别处理。

于 2014-05-30T23:14:22.897 回答