来自 pfx 证书的 Java keystore

Question

上下文

我需要在 Windows Server 2008 上的 IIS 7.5(http 端口 80，https 443)后面放置一个 Java 应用程序服务器(http 端口 8080，https 8181)。

步骤

我使用了 IIS ARR 模块来启用代理，以便将一些请求路由到 Java 应用程序服务器。为此，我还创建了一些 URL Rewrite 规则。使用 http，一切正常。

使用的规则指出，当请求的 URL 匹配模式 (MyAppContextRoot.+) 时，要采取的操作是重写:http://localhost:8080/{R: 0}。

对于另一个使用 https 的应用程序，重写规则是:https://localhost:8181/{R:0}。

为了路由 https 请求，我在某处读到我需要在 IIS 和 Java 之间共享相同的证书，因为 IIS 加密/解密请求/答案。如果我错了，请纠正我。

由于我还处于开发阶段，所以我决定分享一个自签名证书。我使用 SelfSSL7 创建了它，并且使用 keytool 将其导入到 java keystore 中:

selfSSL7 /Q /T /I "Default web site" /N cn=myDomain.com /X /F MyCertificate.pfx /W myPassword

keytool -importkeystore -srckeystore C:\myPath\MyCertificate.pfx -srcstoretype pkcs12 -srcalias my -deststoretype jks -deststorepass myPassword -destalias MyAlias

问题

两个证书都完成了它们的工作:https://myDomain.com 和 https://myDomain.com:8181 已启动并正在运行，但在尝试路由时，我得到错误:

502 - Web server received an invalid response while acting as a gateway or proxy server.

There is a problem with the page you are looking for, and it cannot be displayed. When the Web server (while acting as a gateway or proxy) contacted the upstream content server, it received an invalid response from the content server.

然而，查看证书，在以下方面存在差异:颁发给、颁发者、有效性、签名算法、 key 大小。特别是SelfSSL7创建的算法是sha1RSA(1024 Bits key)，keytool创建的算法是sha256RSA(2048 Bits key)。

Answer 1

这听起来像是您要尝试做的是反向代理设置，而不是重定向到 Java 服务器，在这种情况下，不应直接访问 Java 服务器，而只能通过 IIS 访问。因此，它对客户端来说是“不可见的”(因此您甚至不应该看到具有不同端口的不同 URL)。听起来您的重写规则只是重定向(不是反向代理重写规则)。

• 如果您不需要使用 SSL/TLS 保护 IIS 和 Java 容器之间的连接(仅从外部客户端到 IIS 的连接)，则不需要为 SSL 配置 Java 容器/TLS。 IIS 将成为您的 Java 容器的客户端，使用纯 HTTP。

• 如果您希望使用 SSL/TLS 保护 IIS 和您的 Java 容器之间的连接，您需要证书对托管 Java 容器的主机有效，如 IIS 所见。这不太可能与 IIS 上使用的证书相同，因为 IIS 使用的证书是面向公众的证书，而 Java 容器的证书仅供内部使用(您可能使用自签名证书或您自己的 CA，具体取决于 IIS 反向代理模块可以配置为接受什么)。