java - 使用证书身份验证将 Grails 配置为 POST

Question

我对使用证书和安全性还很陌生，所以如果这对其他人来说是显而易见的，请原谅我。我关注了this guide将我的 Grails 应用程序设置为使用自签名证书在 HTTPS 上运行。

我正在尝试与在同一台机器上运行的另一个 HTTPS 网络(Nifi 独立实例)建立双向 SSL。我可以让 Nifi 实例通过 HTTPS 与 Grails 对话，但我在 Grails 与 Nifi 对话时遇到问题(特别是与 ListenHTTP 处理器)。

我希望有人可以建议在通过 HTTPS 发帖时如何在 Grails 中使用证书身份验证。

Nifi使用证书认证；然而，根据上述指南，Grails 仅指定了一个 keystore (用于接收请求？)所以我有点失望。我可以通过指定 --cert 和 --key 属性成功地 curl 到 Nifi 的 REST API，但是由于最终产品将是客户端机器上的 WAR，我想以“正确的方式”设置它，我相信留下那些客户端计算机上的文件对于安全性来说是一个非常大的禁忌。

早期开发期间 RestBuilder足以通过 HTTP 进行双向通信，但是，我找不到任何关于将它与证书身份验证一起使用的提及(文档中仅涵盖基本身份验证？)。

HTTPBuilder当我寻找替代品时出现了很多，但是看着 relevant documentation (line 139 'certificate()')它声明它需要一个完整的 keystore JKS 和密码。考虑到我只有一个 keystore ，我认为这很接近但不完全是我想要的；我愿意在这里接受更正。

请注意，至少在发布此问题后的第二天，我才能回复。

Answer 1

在进行传出 HTTPS 连接时，如果远程端点(在本例中为 Apache NiFi)需要客户端证书身份验证，则原始端点 (Grails) 将尝试提供证书。 Grails 用来将自身标识为服务的证书可以在这种情况下使用，前提是:

1. 证书没有设置 ExtendedKeyUsage 扩展集，或者如果设置了，则 ServerAuth 和 ClientAuth 值都存在。如果缺少ClientAuth，系统将不允许此证书用于客户端身份验证，这是此交换中的必要角色。
2. 该证书有一个有效的 SubjectAlternativeName 值，该值与运行它的主机名相匹配。 RFC 6125规定 SAN 值应用于证书标识，而不是 可分辨名称 (DN) 和 Common Name (CN ).因此，如果 Grails 应用程序在 https://grails.example.com 上运行，则 SAN 必须包含 grails.example.com 或 *.example 的值.com.
3. 必须将证书导入 NiFi 的信任库，以便 NiFi 验证此证书的提供者。
4. NiFi 必须为此“用户”设置 ACL 权限。这可以通过 UI 或在首次启动 NiFi 之前修改 conf/authorizers.xml 文件来完成。参见 NiFi Admin Guide - Authorizers Configuration了解更多信息。

您担心将 cert.pem 和 key.key 文件留在客户端计算机上是可以理解的，但其中包含的敏感信息与您的数据相同 keystore 。在某些时候，Grails 应用程序必须可以访问私钥才能执行 HTTPS 进程，因此将它放在 keystore 中在功能上是等效的(您没有提到在 *.key 文件，但显然你应该在 keystore 上有一个密码)。