Jboss EAP 7-REST API客户端的动态SSL身份验证
我正在努力解决一些关于SSL证书及其签名的问题。
我的需求:我需要能够添加(生成?)允许他们使用我的API的客户端证书。
我的问题是:如果为了使修改可用而更改java信任库,则似乎需要重新加载Wildfly。
我的理解是:这是一种错误的解决问题的方法,应该采取以下措施:
- 从受信任的机构获取CA证书
这样,只有我的CA证书需要放在我的java密钥库上,通过CA验证链,我的客户机才可以使用我的服务。
问题:
- 我做对了吗
感谢您提供的所有建议。
共有1个答案
好的,
因为它可能会帮助别人,所以我要把我的各种测试帮助我弄清楚的东西。:
- 我做对了吗
据我所知:是的,为什么我不能确定呢?因为我遇到了一些测试限制,这是因为我的开发环境以及我不能拥有一个真正有效的证书和一个有效的域来测试它。
因此,他们需要发送一个CSR(证书签名请求)和他们的公钥才能进行签名。
使用Bouncycastle库应该可以做到这一点。我之所以使用should,是因为我没有去实现它,后面会有更多关于它的内容。
我仍然不清楚这一点,但是似乎有某种证书签名的范围可以防止任何人伪造实际的CA。欢迎任何能对此有更确定知识的人。
我最终做了什么:
成为我们自己的CA太难了,所以我们实际上要做的是让我们的客户从已知的CA获取他们的证书,并将这些CA证书添加到我们的信任库中。这与之前的原则相同,但我们将利用实际的CA资源,而不是扮演CA角色。
希望这能帮助任何人,将某种同等的要求。
-
我正在组装一个soap客户端来调用第三方soap服务。我在连接Java时遇到问题。它在SoapUI上运行良好。这是我第一次在应用程序中设置密钥库。我发现的所有代码都是相同的,非常简单,但我不明白为什么java版本不起作用。。我使用的是该公司提供的TLS pfx文件,我也在尝试连接该公司的服务。我要从服务器上拿回403。。这是密码 非常感谢任何对我错误的帮助... 不确定是否重要,但服务器是一个.
-
好的,我正在尝试使用客户机证书来对python客户机进行Nginx服务器的身份验证。以下是我目前所尝试的: 现在我从服务器上得到了400个SSL证书错误。我做错了什么?
-
问题内容: 我有以下代码使用SSL将服务器与客户端连接,现在我想添加客户端身份验证: (我有一个服务器密钥库(JCEKS类型)和一个客户端密钥库(JKS类型),服务器使用了一个信任库(证书),在其中我导入了两个证书,因为我也想使用此信任库进行客户端身份验证) 客户代码: 服务器代码: 在此先感谢您的帮助。 编辑:我在服务器端添加此代码: 但是,如果我删除cacerts中的客户端证书,则连接不会给我
-
授权服务器为进行客户端身份验证的目的,为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端密码和其他客户端凭据的机密性。 授权不得向本地应用程序或基于用户代理的应用客户端颁发客户端密码或其他客户端凭据用于客户端验证目的。授权服务器可以颁发客户端密码或其他凭据给专门的设备上特定安装的本地应用程序客户端。 当客户端身份验证不可用
-
在向令牌端点发起请求时,机密客户端或其他被颁发客户端凭据的客户端必须如2.3节所述与授权服务器进行身份验证。客户端身份验证用于: 实施刷新令牌和授权码到它们被颁发给的客户端的绑定。当授权码在不安全通道上向重定向端点传输时,或者 当重定向URI没有被完全注册时,客户端身份验证是关键的。 通过禁用客户端或者改变其凭据从被入侵的客户端恢复,从而防止攻击者滥用被盗的刷新令牌。改变单套客户端凭据显然快于撤销
-
如果客户端类型是机密的,客户端和授权服务器建立适合于授权服务器的安全性要求的客户端身份验证方法。授权服务器可以接受符合其安全要求的任何形式的客户端身份验证。 机密客户端通常颁发(或建立)一组客户端凭据用于与授权服务器进行身份验证(例如,密码、公/私钥对)。授权服务器可以与公共客户端建立客户端身份验证方法。然而,授权服务器不能依靠公共客户端身份验证达到识别客户端的目的。 客户端在每次请求中不能使用一