kotlin - ktor sslConnector 从 jar p12 pkcs12 jks keystore 和 mtls 相互 ssl 连接中服务/读取-6ren

kotlin - ktor sslConnector 从 jar p12 pkcs12 jks keystore 和 mtls 相互 ssl 连接中服务/读取

转载作者：行者123 更新时间：2023-12-04 22:39:59

32

4

我已经想出了如何使用 EmbeddedServer Jetty 启动 ktor 并使用我自己的签名证书(由我自己的自签名 rootCA 证书签名)提供 https/ssl/tls 服务。
现在 ktor sslConnector 需要有 keyStorePath如File ，但我更愿意从最终 fat jar 中的/a 文件中提供 keystore (主要是为了能够在 kubernetes 集群中运行它)
有没有办法告诉 ktor 将其 jar 文件中嵌入的资源作为 keyStore 获取/读取？

    // openssl pkcs12 -export -nodes -passout pass:${keystorePW} -in "domain.cert" -inkey "domain.key" -certfile "intermediateAndRootCAchain.ca" -name "aliasName" -out "webserverKeystore.p12"
    val keystore: KeyStore = KeyStore.getInstance(keystoreFile, keystorePW.toCharArray())

    @Suppress("UNUSED_PARAMETER")
    fun doIt(args: Array<String>) {
        val server = embeddedServer(Jetty, applicationEngineEnvironment {
            module {
                configureRouting()
                configureHTTP(sslPort)
                configureSerialization()
            }

            connector {
                this.host = host // redirected to https
                this.port = port // redirected to sslPort
            }

            sslConnector(keystore,
                keyAlias = certAlias, // alias name inside keystore: keytool -v -list -keystore certs/keystore.jks
                keyStorePassword = { keystorePW.toCharArray() },
                privateKeyPassword = { keystorePW.toCharArray() } // somehow this is the same as keystorePW if using openssl pkcs12 -export from above
            ) {
                this.port = sslPort
                keyStorePath = keystoreFile
            }
        })

        server.start(wait = true)
    }

有没有办法告诉 ktor 将其 jar 文件中嵌入的资源作为 keyStore 获取/读取？
(还想知道为什么 sslConnector 仍然需要 keystore 为 File 如果它已经将整个 keystore 作为第一个参数，但这可能与正在使用的实际 Web 容器无关)
第二个问题:是否可以启用相互 tls，如果客户端无法提供有效证书，ktor 服务器会拒绝连接吗？如果是，我将如何配置？

最佳答案

对于 Netty和 Jetty引擎，一个 keystore作为 sslConnector 的第一个参数传递实际使用。 keyStorePath属性仅用于 Tomcat引擎。
不幸的是，没有办法在 Ktor 中配置双向 TLS 身份验证，但作为一种解决方法，您可以通过将连接器添加到底层 Jetty 服务器来手动完成。 This article可能对你有用。这是一个不完整的例子:

embeddedServer(
    Jetty, 
    applicationEngineEnvironment {
        module {
            // ...
        }
    }
) {
    configureServer = {
        val factory = SslConnectionFactory(
            SslContextFactory.Server().apply {
                // keyStore = ...
                // setKeyManagerPassword(...)
                // setKeyStorePassword(...)
                needClientAuth = true
            },
            HttpVersion.HTTP_1_1.asString()
        )

        val connector = ServerConnector(this, factory).apply {
            // host = ...
            // port = ...
        }

        addConnector(connector)
    }
}

关于kotlin - ktor sslConnector 从 jar p12 pkcs12 jks keystore 和 mtls 相互 ssl 连接中服务/读取，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/68849683/

32

4

0

文章推荐： ssl - 如何从 Insomnia REST Client 创建 SSL key 日志？

文章推荐： amazon-web-services - 任何 SSL 证书都适用于节点

文章推荐： ssl - RabbitMQ 集群算子 - 启用 MQTT 插件

elasticsearch - 是否可以选择Istio mTLS？
我在Kubernetes 1.15.9上运行了Istio 1.4.0。我正在努力实现以下目标，但是我阅读Istio文档的次数越多，我就越会感到困惑。让我以简单的方式讲。第一件事是，我想为最大服务(如
Istio mTLS 流程
我对 istio 的 mTLS 流程有点困惑。在bookinginfo 示例中，我看到服务通过http 而不是https 进行调用。如果服务之间有 mTLS 那么服务会进行 http 调用吗？是否可
azure - Azure 应用程序网关是否支持条件 mTLS
目前，我们正在运行一个 Azure 应用服务托管应用程序，提供不同的 API 端点，例如 /public/xyz 和 /secured/xyz，其中所有 API 都位于 /secure/... 在应用
ssl - 当握手后客户端和服务器都经过身份验证时，mTLS 是否更快
从 wikipedia 读取 mTLS 微服务中的 mTLS 和服务之间的通信是否比仅使用 TLS 更快？我的意思是，如果仅使用 TLS，每次在客户端和服务器之间建立通信时都会发生握手。如果 mT
ssl - Prometheus - 通过 mTLS 抓取指标端点
关于如何通过 HTTPS、双向 TLS、双向 SSL 抓取/metrics 端点的小问题。我们的 Prometheus 实例部署在位置 A。然后，我们在各个地方部署了一堆微服务，但从不与 Prom
java - MTLS 和 http 客户端连接池使用情况
背景我需要为各种客户端连接到服务器。每个客户端连接都应使用唯一的 TLS 证书。 MTLS 在服务器上就位。我想使用连接池来改善延迟。使用以下 http 客户端 org.apache.
安全 mTLS 健康检查端点上的 Kubernetes 活跃度探测
我需要一些帮助来解决特定的 Kubernetes + mTLS 问题。如何使 Kubernetes active 探针在安全 https mTLS 健康检查端点上工作？我的应用程序是一个 Web
ssl - mTLS(双向 TLS)详细信息
我知道对于 MTLS ，双方，客户端和服务器交换证书。这些证书应由双方都可以信任的 CA 签名，以验证证书。我的问题是，MTLS 是否也意味着除了验证证书(如果 CA 是可信的，叶证书是可信的)，任
java - Spring Boot - 自签名 mTLS - 必要的证书
我在 Spring Boot 应用程序中的 mTLS 配置有问题。问题:由于 client-auth: need 导致证书是强制性的，如何使用自签名证书授权请求选项到目前为止完成的步骤: 我使用以
ubuntu - 在 Istio 中正确定义 mTLS 身份验证策略
我正在尝试运行 Istio 在线类(class)中的以下命令集: 设置 Istio 证书颁发机构 (CA) 留言本应用程序的版本 2 使用未启用 Istio 的外部服务(音调分析器)。因此，您将在本实
ssl - OpenShift + Istio 中的 mTLS(客户端证书)
OpenShift 中部署了一个应用程序 (Java)。 istio-ingress-gateway 也已配置。我的任务是使用带有 mTLS 的 https 协议(protocol)调用我的服务。目前
kubernetes - 如何使用启用 `mtls` 的基于 Istio 的服务？
目前，我想引入 istio 作为我们微服务的服务网格框架。我曾经玩过它(< 1 周)，我的理解是 Istio 确实提供了一种简单的方法来保护服务到服务的通信。许多(或全部？) Istio 文档/文章提
Java MTLS Subject 和 Issuer 顺序
我们正在升级我们自己和合作伙伴之间的连接，他们要求我们升级到 MTLS。我一直在调试低级 java， javax.net.debug=all我可以看到握手成功。然而，合作伙伴对主题和发行人字段进行了完
amazon-web-services - MTLS Cloudfront/ApiGateway AWS
没有找到任何有关如何实现 Cloudfront + MTLS 或 Api Gateway + MTLS 的资料。可能吗？如果没有，是否有其他方法可以使用 CloudFront + ApiGateway
ssl - 在 mTLS 中，客户端 CN 名称真的很重要吗？
对于普通的 TLS，客户端将检查我正在与之通信的服务器实际上是否位于与 CN 匹配的 FQDN 上，因此如果证书用于不同的域，则默认情况下 TLS 不应工作，因为该证书不适用于该站点. 对于 mTLS
java - mTLS/TLS Redis 6 问题 Java
目前我正在运行带有 ACL 的 Redis 6 和带有 C# 客户端的 mTLS。我正在尝试更新我们的 Java 端以也使用 ACL 和 mTLS 但一直遇到问题。我目前主要专注于 mTLS，并没有取
grpc - 使用 mTLS 进行 GKE gRPC 入口运行状况检查
我正在尝试在 GKE (v1.11.2-gke.18) 上实现具有相互 TLS 身份验证的 gRPC 服务。不强制执行客户端身份验证时，GKE 自动创建的 HTTP2 运行状况检查会响应，并且所有连
kubernetes - 由于证书 mTLS 上的路径无效，Istio Sidecar 代理无法启动
namespace 上启用了自动注入(inject)，我正在尝试使用 Auto mTLS。已验证 Istio pilot 和 citadel 运行正常。已正确创建和安装证书密码。 istio 代理启动
ssl - 在 Kubernetes 和 NGINX 中使用自签名证书设置 mTLS
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX 入口来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务，
spring - 如何在 Kubernetes 中为 Spring 应用程序提供双向 TLS (mTLS)？
我有一个有趣的问题，也许你可以帮助我。给定了两个 spring 应用程序，分别称为 app1 和 app2。这两个服务都发生了大量的 REST 调用。我需要实现一个安全解决方案，它们都可以在 RES

首页

博学

6Ren·AI

商城

kotlin - ktor sslConnector 从 jar p12 pkcs12 jks keystore 和 mtls 相互 ssl 连接中服务/读取