使用弹簧启动实现双向 SSL

我正在创建一些宁静的Web服务,并使用Spring-Boot创建一个嵌入式tomcat容器。

其中一个要求是实现双向 SSL。我一直在查看HttpSecurity对象,并且可以使用它来使其仅在SSL通道上运行Web服务:-

@Override
protected void configure(HttpSecurity http) throws Exception {

    System.out.println("CONFIGURED");

    http
        // ...
        .requiresChannel()
            .anyRequest().requiresSecure();
}

我似乎找不到一种使Web服务仅由提供有效客户端证书的应用程序访问的方法。

我只有SSL的基本知识,所以即使是朝着正确方向的一般指针也会受到赞赏。

要部署到的服务器将混合使用应用程序 - 这是唯一需要使用双向 SSL 锁定的应用程序。我真正想要的是一种将单个应用程序锁定为仅接受客户端证书的方法。


答案 1

我遇到了类似的问题,并认为我会分享我带来的解决方案。

首先,您需要了解SSL证书身份验证将在Web服务器端处理(参见dur的解释,使用“clientAuth=want”设置)。然后,必须配置 Web 应用,以便处理提供(和允许的)证书,将其映射到用户等。

我和你们的细微区别是,我将我的 Spring Boot 应用程序打包到 WAR 归档中,然后将其部署到现有的 Tomcat 应用程序服务器上。

My Tomcat 的服务器.xml配置文件定义了一个 HTTPS 连接器,如下所示:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/opt/tomcat/conf/key-stores/ssl-keystore.jks"
    keystorePass=“some-complex-password“
    clientAuth="want" sslProtocol="TLS"
    truststoreFile="/opt/tomcat/conf/trust-stores/ssl-truststore.jks"
    truststorePass=“some-other-complex-password” />

为了避免任何混淆,小注释:keystoreFile 包含用于 SSL 的证书/私钥对(仅),而 truststoreFile 包含允许用于客户端 SSL 身份验证的 CA 证书(请注意,您还可以将客户端证书直接添加到该信任存储中)。

如果将嵌入式 tomcat 容器与 spring boot 应用程序一起使用,则应该能够在应用程序的属性文件中使用以下属性键/值配置这些设置:

server.ssl.key-store=/opt/tomcat/conf/key-stores/ssl-keystore.jks
server.ssl.key-store-password=some-complex-password
server.ssl.trust-store=/opt/tomcat/conf/trust-stores/ssl-truststore.jks
server.ssl.trust-store-password=some-other-complex-password
server.ssl.client-auth=want

然后,在我的 Web 应用上,我声明特定的 SSL 配置,如下所示:

@Configuration
@EnableWebSecurity
//In order to use @PreAuthorise() annotations later on...
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SSLAuthConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${allowed.user}")
    private String ALLOWED_USER;

    @Value("${server.ssl.client.regex}")
    private String CN_REGEX;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure (final HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
                .authorizeRequests()
                .antMatchers("/url-path-to-protect").authenticated() //Specify the URL path(s) requiring authentication...
            .and()
                .x509() //... and that x509 authentication is enabled
                    .subjectPrincipalRegex(CN_REGEX)
                    .userDetailsService(userDetailsService);
    }

    @Autowired
    //Simplified case, where the application has only one user...
    public void configureGlobal (final AuthenticationManagerBuilder auth) throws Exception {
        //... whose username is defined in the application's properties.
        auth
            .inMemoryAuthentication()
                .withUser(ALLOWED_USER).password("").roles("SSL_USER");
    }

}

然后,我需要声明 UserDetailsService bean(例如,在我的应用程序的主类中):

@Value("${allowed.user}")
private String ALLOWED_USER;

@Bean
public UserDetailsService userDetailsService () {

    return new UserDetailsService() {

        @Override
        public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {
            if (username.equals(ALLOWED_USER)) {
                final User user = new User(username, "", AuthorityUtils.createAuthorityList("ROLE_SSL_USER"));
                return user;
            }
            return null;
        }
    };
}

就是这样!然后,我可以将@PreAuthorize(“hasRole('ROLE_SSL_USER')”)注释添加到要保护的方法中。

总而言之,身份验证流程将如下所示:

  1. 用户提供 SSL 证书 ;
  2. Tomcat 根据其信任存储进行验证 ;
  3. 自定义 WebSecurityConfigurerAdapter 从证书的 CN 中检索“用户名” ;
  4. 应用程序对与检索到的用户名 关联的用户进行身份验证;
  5. 在方法级别,如果使用@PreAuthorize(“hasRole('SSL_USER'))进行注释,应用程序将检查用户是否具有所需的角色。

答案 2

您可以配置 ,请参阅 Apache Tomcat 8 配置参考clientAuth=want

如果希望 SSL 堆栈在接受连接之前需要来自客户端的有效证书链,则设置为。如果希望 SSL 堆栈请求客户端证书,则设置为,但如果未显示客户端证书,则不会失败。值(默认值)不需要证书链,除非客户端请求受使用身份验证的安全约束保护的资源。truewantfalseCLIENT-CERT

然后使用Spring Security - X.509身份验证读取客户端证书:

您还可以将SSL与“相互身份验证”结合使用;然后,作为 SSL 握手的一部分,服务器将从客户端请求有效的证书。服务器将通过检查客户端的证书是否由可接受的颁发机构签名来对客户端进行身份验证。如果提供了有效的证书,则可以通过应用程序中的 servlet API 获取该证书。Spring Security X.509 模块使用过滤器提取证书。它将证书映射到应用程序用户,并加载该用户的一组授予的权限,以便与标准的Spring Security基础架构一起使用。

clientAuth也可以设置为“即使客户端未提供证书仍希望 SSL 连接成功”。未提供证书的客户端将无法访问Spring Security保护的任何对象,除非您使用非X.509身份验证机制,例如表单身份验证。want