java - 如何在 SSL 配置的 tomcat 中缓存和更新 CRL(证书撤销列表)/OCSP 响应？

Question

我一直在尝试在 Tomcat 8 中设置 SSL/TLS 握手。我已成功完成所有配置，但我在使用 CRL/OCSP 时遇到了一些问题。

我需要解决方案:this

我有几个问题，请耐心等待。非常感谢任何帮助。

1. tomcat 8 是否允许我们缓存从 CRL 分发点获取的 CRL 文件？通过缓存我的意思是如果网络不可用并且我们启动服务器，我不希望 tomcat 默认允许访问所有用户(它确实如此)，因为 CRL 分发点不可用。我希望它缓存最后一个可用列表并在现在无法下载 CRL 时使用它。如果可以下载，则更新现有缓存。

我在 server.xml 中配置了以下连接器。

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
	port="8443" maxThreads="2000" clientAuth="want" scheme="https"
	keepAliveTimeout="-1" connectionTimeout="900000" compression="on" 
	noCompressionUserAgents="gozilla, traviata" 
	compressableMimeType="text/html,text/xml,text/css,text/javascript,image/jpg,image/ico,image/png,image/jpeg,image/tiff,image/tif" 

	secure="true" SSLEnabled="true" sslProtocol="TLS" sessionTimeout="30" 

	truststoreFile="D:\Certs\server.truststore" truststorePass="123456"
  
	keystoreFile="D:\Certs\keystore.pkcs12" keystorePass="password" keystoreType="PKCS12"

	crlFile="http://127.0.0.1:8600/getCRLFile/"

	maxKeepAliveRequests="200" sslEnabledProtocols= "TLSv1,TLSv1.1,TLSv1.2" 
	maxHttpHeaderSize="65536" maxPostSize="4194304" 
	ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>

我可以使用任何 tomcat 配置来实现吗？

1. 我找到了一种方法来完成上述任务，我通过操作 Java 代码找到了 here!

这个问题是我必须在握手时发送客户端证书到这个 java 代码，并根据这个代码的回复接受/拒绝证书。我不知道该怎么做。任何帮助都会有很大用处。第二个原因是我更愿意使用 tomcat 配置而不是自定义代码来完成任务 1，因为自定义代码可能会遗漏某些方面。

1. 我可以在不重新启动 tomcat 服务器的情况下从 CRL 分发 URL 中动态选择更新的 CRL 吗？具有上述配置的当前方案会在服务器打开时选择一次 CRL 文件，然后即使 URL 上可用的 CRL 列表已更改，它也仅使用该副本。

2. 我们可以在连接器中配置多个 CRL 端点吗？ Tomcat 将检查所有这些并根据所有 URL 的组合列表接受/拒绝客户端证书。

   1. 如果已配置，我能否以类似于缓存 CRL 列表的方式缓存 OCSP 响应？

提前致谢。请随时询问我可能遗漏的任何细节。

Answer 1

回答我自己的问题。

我可以找到一种缓存 CRL 的方法。我所做的是使 server.xml 中连接器的 crlFile 指向本地计算机上的 CRL 文件。我不时使用 CRON 作业更新此文件。

从 Tomcat v8.5.24 开始，添加了一个新的 API 来刷新整个 SSL 配置，而无需重新启动 Tomcat 服务器。我也时不时地调用这些 API 以从本地计算机中选择更新的 CRL 文件。

他们介绍了 2 个名为:

1. reloadSslHostConfig(String hostName) - 重新加载特定主机
2. reloadSslHostConfigs() - 重新加载所有

可以通过多种方式调用它们:

1. 使用jmx
2. 使用经理服务
3. 通过制定自定义协议(protocol) - 我在研究过程中发现了这种方式

方式 1 和方式 2 的详细信息很容易在线获得。

关于如何使用方式 3 的详细信息:

1. 创建一个类来扩展您选择的协议(protocol)，例如。 Http11Nio协议(protocol)
2. 覆盖所需的方法并在其中调用 super 以保持默认行为
3. 在该类中创建一个线程，定时调用reloadSslHostConfigs方法
4. 把这个类打包成一个jar，然后把那个jar放到tomcat的lib文件夹中
5. 在 server.xml 的连接器中编辑协议(protocol)以使用此自定义协议(protocol)

在下面找到示例代码:

主要协议(protocol)类:

    package com.myown.connector;

    import java.io.File;
    import java.io.InputStream;
    import java.lang.reflect.Field;
    import java.net.URL;
    import java.net.URLConnection;
    import java.nio.file.StandardCopyOption;
    import java.util.ArrayList;
    import java.util.List;
    import java.util.concurrent.ConcurrentMap;

    import javax.management.MalformedObjectNameException;
    import javax.management.ObjectName;
    import javax.net.ssl.SSLSessionContext;

    import org.apache.coyote.http11.Http11NioProtocol;
    import org.apache.juli.logging.Log;
    import org.apache.juli.logging.LogFactory;
    import org.apache.tomcat.util.modeler.Registry;
    import org.apache.tomcat.util.net.AbstractEndpoint;
    import org.apache.tomcat.util.net.AbstractJsseEndpoint;
    import org.apache.tomcat.util.net.GetSslConfig;
    import org.apache.tomcat.util.net.SSLContext;
    import org.apache.tomcat.util.net.SSLHostConfig;
    import org.apache.tomcat.util.net.SSLHostConfigCertificate;
    import org.apache.tomcat.util.net.SSLImplementation;
    import org.apache.tomcat.util.net.SSLUtil;

    public class ReloadProtocol extends Http11NioProtocol {

        private static final Log log = LogFactory.getLog(Http12ProtocolSSL.class);

        public ReloadProtocol() {
            super();
            RefreshSslConfigThread refresher = new 
                  RefreshSslConfigThread(this.getEndpoint(), this);
            refresher.start();
        }

        @Override
        public void setKeystorePass(String s) {
            super.setKeystorePass(s);
        }

        @Override
        public void setKeyPass(String s) {
            super.setKeyPass(s);
        }

        @Override
        public void setTruststorePass(String p) {
            super.setTruststorePass(p);
        }

        class RefreshSslConfigThread extends Thread {

            AbstractJsseEndpoint<?> abstractJsseEndpoint = null;
            Http11NioProtocol protocol = null;

            public RefreshSslConfigThread(AbstractJsseEndpoint<?> abstractJsseEndpoint, Http11NioProtocol protocol) {
                this.abstractJsseEndpoint = abstractJsseEndpoint;
                this.protocol = protocol;
            }

            public void run() {
                int timeBetweenRefreshesInt = 1000000; // time in milli-seconds
                while (true) {
                    try {
                            abstractJsseEndpoint.reloadSslHostConfigs();
                            System.out.println("Config Updated");
                    } catch (Exception e) {
                        System.out.println("Problem while reloading.");
                    }
                    try {
                        Thread.sleep(timeBetweenRefreshesInt);
                    } catch (InterruptedException e) {
                        System.out.println("Error while sleeping");
                    }
                }
            }
       }
}

server.xml 中的连接器应该将此作为协议(protocol)提及:

<Connector protocol="com.myown.connector.ReloadProtocol"
 ..........

希望这对某人有帮助。