spring-boot - Spring Boot x509 测试 - pcf

Question

在 云类型转换 我对其进行了配置，以便将客户端证书转发到我的 Spring Boot 应用程序。

证书放在 x-forwarded-client-cert头，spring boot 应用程序读取这个？，并检查 CN 是否被列入白名单并发送适当的响应。不幸的是，我无法通过测试复制这种行为。我不断得到(在调试输出中):

"no client certificate found in request"

我正在使用 REST 保证 我的测试如下所示:

String cert = StreamUtils.copyToString(
  new ClassPathResource("certs/client/client_mod.crt").getInputStream(), Charset.defaultCharset());

cert = cert.replace("\r\n", "").replace("\n", "");

given()
  .spec(spec)
  .header("x-forwarded-client-cert", cert)
  .when()
  .get(HealthResource.BASE_URL + "/ip-reverse-lookup")
  .then()
  .statusCode(HttpStatus.OK.value());

这个的基本 uri 是 http://localhost .客户端证书“ -----BEGIN CERTIFICATE-----" 和 "-----END CERTIFICATE-----" 已被删除，换行符也被删除(如您在上面的代码中所见)。

在我的 application.yml 我有这个:

server:
  ssl:
    enabled: false
    key-store:
    key-store-password:
    trust-store:
    trust-store-password:
    client-auth: need

configure扩展 WebSecurityConfigurerAdapter 的类的方法看起来像这样:

http
  .x509()
  .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
  .userDetailsService(customUserDetailsService)
  .and()
  .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER)
  .and()
  .csrf().disable();

任何帮助/建议将不胜感激。

谢谢。

Answer 1

由于容器化和网络架构，您需要在实现和测试时考虑以下几点。
当您将 Cloud Foundry 配置为检查客户端证书(如果存在)是否可信时，将根据受信任的 CA/证书进行检查。这是在 CF 环境的通用网络组件的 HAProxy 上完成的。正如您正确说明的那样，它(如果包含并受信任)被放入 x-forwarded-client-cert这是从外部保证不可变的。
您的应用程序在较低级别的容器中运行，并通过 HAProxy/GoRouter 连接到其公共(public)主机名/url。当请求到达您的应用程序时，此时不再有 TLS 级别的证书(准确地说是 mTLS)。 SSL 连接在 HAProxy 上终止。在内部，您的应用程序/容器以 HTTP 的形式接收请求。
查看更多详情 [1] [2]
因此，您的 Spring 应用程序只是在添加到请求的 header 中接收有关 X.509/mTLS 证书的信息。因此，向 Spring 应用程序添加/配置 x509 支持是没有意义的，因为没有真正的 mTLS 会到达端点。这也是您收到上面发布的日志消息的原因。相反，您需要让您的应用程序读出标题并根据它执行您的逻辑。