ssl - 从 ssl-terminating-point 后面的 glassfish 连接到第三方双向 https ws

Question

上下文

我开发了一个部署在 Glassfish 3.1 中的应用程序。此应用程序只能通过 https 访问，有时它必须连接到位于客户网络之外的第三方网络服务。客户在他的网络中有其他应用程序；我的只是一个新的“服务”。

拓扑近似

• Big-ip F5 是 ssl 端点。客户在此设备中拥有有效证书
• IIS 按域重定向到相应的服务
• glassfish 是带有应用程序的机器(当然是 glassfish 3.1)

工作原理

当用户尝试连接到 _https://somedomain 时，请求到达 SSL 加密结束的 F5；现在我们有一个请求到 _http://somedomain。在下一步中，F5 将此请求重定向到 IIS，最后重定向到 glassfish。此请愿书已成功处理。

兴趣点

• 我可以完全控制 glassfish 服务器和 S.O.它所在的虚拟机。此服务器上没有或将不会部署其他应用程序；它是应用程序及其所需的一些服务的专用服务器。 Glassfish 在具有 Debian 发行版的 VM 上运行作为 S.O.该虚拟机由虚拟机服务器提供，但我不知道品牌、型号等。glassfish 具有默认的 http 监听器配置。
• 我没有关于网络和其他设备的更多信息，我无法访问任何其他设备的任何配置文件。我不能为自己修改网络的任何部分，但可能会要求、建议或建议进行更改。网络的行为不应改变。
• 实际上，用户可以毫无问题地访问该应用程序。
• 使用的证书是受 Verysign 信任的简单域证书
• 客户不知道如何解决这个问题。

问题

应用程序必须访问的所有第三方 WS 都具有唯一的 https 访问权限，并且在某些情况下，所需的身份验证是相互的(双向)，我们在这里找到了问题所在。当应用程序想要通过相互 ssl 身份验证连接到 WS 时，它会发送 glassfish 本地 keystore 配置目标证书。如果可能，客户希望对传入和传出的安全连接使用相同的证书。该证书在 F5 中，我无法添加到 glassfish keystore ，因为如果我这样做，我将违反 Verysign 契约(Contract)要求。我一直在谷歌寻找解决方案，这里(stackoverflow)，jita，......但我只找到了传入流量解决方案。我知道可能需要 SSL 代理，但我还没有找到任何用于即将到来的 ssl 连接的示例或替代解决方案。

我要的是什么

我不会说英语(这不是很明显吗？)，也许我没有在搜索词中使用正确的词。我可以理解这种情况可能是一场噩梦并且难以解决，但我会坚持......我需要的第一个想法是知道是否存在针对此问题的解决方案(或解决方案)以及它(或它们!)存在于何处或者我怎样才能找到它/它们。我准备了不同的备选方案来与客户协商，但我需要知道真实情况。我为此花费了大量时间。

Answer 1

有几个解决方案。

1) 为第二个“许可证/证书”支付更多的钱。他们会很乐意拿你的钱换取“特权”。 :)

2) 创建一个不同的虚拟服务器监听 443，它指向一个将您的客户端服务器地址作为池成员的池。然后在虚拟服务器上，附加一个配置为使用与传入连接相同的证书的 serverssl 配置文件。然后 F5 将使用相同的证书进行身份验证，您的应用程序服务器将不需要安装客户端证书。此外，如果他们需要向您发起 session ，则您必须使用 clientsl 配置文件设置虚拟服务器，该配置文件使用相同的证书并需要客户端证书才能连接。

如果您的目的地可能不是静态地址，则必须创建规则来处理该问题。可以在 10 或更高版本的代码中使用 irule 中的 DNS 调用进行处理，并为 session 设置一个节点。