- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我已经想出了如何使用 EmbeddedServer Jetty 启动 ktor 并使用我自己的签名证书(由我自己的自签名 rootCA 证书签名)提供 https/ssl/tls 服务。
现在 ktor sslConnector 需要有 keyStorePath
如File
,但我更愿意从最终 fat jar 中的/a 文件中提供 keystore (主要是为了能够在 kubernetes 集群中运行它)
有没有办法告诉 ktor 将其 jar 文件中嵌入的资源作为 keyStore 获取/读取?
// openssl pkcs12 -export -nodes -passout pass:${keystorePW} -in "domain.cert" -inkey "domain.key" -certfile "intermediateAndRootCAchain.ca" -name "aliasName" -out "webserverKeystore.p12"
val keystore: KeyStore = KeyStore.getInstance(keystoreFile, keystorePW.toCharArray())
@Suppress("UNUSED_PARAMETER")
fun doIt(args: Array<String>) {
val server = embeddedServer(Jetty, applicationEngineEnvironment {
module {
configureRouting()
configureHTTP(sslPort)
configureSerialization()
}
connector {
this.host = host // redirected to https
this.port = port // redirected to sslPort
}
sslConnector(keystore,
keyAlias = certAlias, // alias name inside keystore: keytool -v -list -keystore certs/keystore.jks
keyStorePassword = { keystorePW.toCharArray() },
privateKeyPassword = { keystorePW.toCharArray() } // somehow this is the same as keystorePW if using openssl pkcs12 -export from above
) {
this.port = sslPort
keyStorePath = keystoreFile
}
})
server.start(wait = true)
}
有没有办法告诉 ktor 将其 jar 文件中嵌入的资源作为 keyStore 获取/读取?
sslConnector
仍然需要 keystore 为
File
如果它已经将整个 keystore 作为第一个参数,但这可能与正在使用的实际 Web 容器无关)
最佳答案
对于 Netty
和 Jetty
引擎,一个 keystore
作为 sslConnector
的第一个参数传递实际使用。 keyStorePath
属性仅用于 Tomcat
引擎。
不幸的是,没有办法在 Ktor 中配置双向 TLS 身份验证,但作为一种解决方法,您可以通过将连接器添加到底层 Jetty 服务器来手动完成。 This article可能对你有用。这是一个不完整的例子:
embeddedServer(
Jetty,
applicationEngineEnvironment {
module {
// ...
}
}
) {
configureServer = {
val factory = SslConnectionFactory(
SslContextFactory.Server().apply {
// keyStore = ...
// setKeyManagerPassword(...)
// setKeyStorePassword(...)
needClientAuth = true
},
HttpVersion.HTTP_1_1.asString()
)
val connector = ServerConnector(this, factory).apply {
// host = ...
// port = ...
}
addConnector(connector)
}
}
关于kotlin - ktor sslConnector 从 jar p12 pkcs12 jks keystore 和 mtls 相互 ssl 连接中服务/读取,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68849683/
我在Kubernetes 1.15.9上运行了Istio 1.4.0。我正在努力实现以下目标,但是我阅读Istio文档的次数越多,我就越会感到困惑。让我以简单的方式讲。 第一件事是,我想为最大服务(如
我对 istio 的 mTLS 流程有点困惑。在bookinginfo 示例中,我看到服务通过http 而不是https 进行调用。如果服务之间有 mTLS 那么服务会进行 http 调用吗? 是否可
目前,我们正在运行一个 Azure 应用服务托管应用程序,提供不同的 API 端点,例如 /public/xyz 和 /secured/xyz,其中所有 API 都位于 /secure/... 在应用
从 wikipedia 读取 mTLS 微服务中的 mTLS 和服务之间的通信是否比仅使用 TLS 更快? 我的意思是,如果仅使用 TLS,每次在客户端和服务器之间建立通信时都会发生握手。 如果 mT
关于如何通过 HTTPS、双向 TLS、双向 SSL 抓取/metrics 端点的小问题。 我们的 Prometheus 实例部署在位置 A。 然后,我们在各个地方部署了一堆微服务,但从不与 Prom
背景 我需要为各种客户端连接到服务器。 每个客户端连接都应使用唯一的 TLS 证书。 MTLS 在服务器上就位。 我想使用连接池来改善延迟。 使用以下 http 客户端 org.apache.
我需要一些帮助来解决特定的 Kubernetes + mTLS 问题。 如何使 Kubernetes active 探针在安全 https mTLS 健康检查端点上工作? 我的应用程序是一个 Web
我知道对于 MTLS ,双方,客户端和服务器交换证书。这些证书应由双方都可以信任的 CA 签名,以验证证书。 我的问题是,MTLS 是否也意味着除了验证证书(如果 CA 是可信的,叶证书是可信的),任
我在 Spring Boot 应用程序中的 mTLS 配置有问题。 问题:由于 client-auth: need 导致证书是强制性的,如何使用自签名证书授权请求选项 到目前为止完成的步骤: 我使用以
我正在尝试运行 Istio 在线类(class)中的以下命令集: 设置 Istio 证书颁发机构 (CA) 留言本应用程序的版本 2 使用未启用 Istio 的外部服务(音调分析器)。因此,您将在本实
OpenShift 中部署了一个应用程序 (Java)。 istio-ingress-gateway 也已配置。我的任务是使用带有 mTLS 的 https 协议(protocol)调用我的服务。目前
目前,我想引入 istio 作为我们微服务的服务网格框架。我曾经玩过它(< 1 周),我的理解是 Istio 确实提供了一种简单的方法来保护服务到服务的通信。许多(或全部?) Istio 文档/文章提
我们正在升级我们自己和合作伙伴之间的连接,他们要求我们升级到 MTLS。我一直在调试低级 java, javax.net.debug=all我可以看到握手成功。然而,合作伙伴对主题和发行人字段进行了完
没有找到任何有关如何实现 Cloudfront + MTLS 或 Api Gateway + MTLS 的资料。可能吗?如果没有,是否有其他方法可以使用 CloudFront + ApiGateway
对于普通的 TLS,客户端将检查我正在与之通信的服务器实际上是否位于与 CN 匹配的 FQDN 上,因此如果证书用于不同的域,则默认情况下 TLS 不应工作,因为该证书不适用于该站点. 对于 mTLS
目前我正在运行带有 ACL 的 Redis 6 和带有 C# 客户端的 mTLS。我正在尝试更新我们的 Java 端以也使用 ACL 和 mTLS 但一直遇到问题。我目前主要专注于 mTLS,并没有取
我正在尝试在 GKE (v1.11.2-gke.18) 上实现具有相互 TLS 身份验证的 gRPC 服务。 不强制执行客户端身份验证时,GKE 自动创建的 HTTP2 运行状况检查会响应,并且所有连
namespace 上启用了自动注入(inject),我正在尝试使用 Auto mTLS。已验证 Istio pilot 和 citadel 运行正常。已正确创建和安装证书密码。 istio 代理启动
我有一个托管 REST 回显服务的 Kubernetes 集群 (AKS)。该服务通过 HTTP 运行良好。我正在使用 NGINX 入口来路由流量。我现在想通过 HTTPS 和 mTLS 设置此服务,
我有一个有趣的问题,也许你可以帮助我。 给定了两个 spring 应用程序,分别称为 app1 和 app2。这两个服务都发生了大量的 REST 调用。我需要实现一个安全解决方案,它们都可以在 RES
我是一名优秀的程序员,十分优秀!