Umsetzung von 2-Wege-SSL-mit spring boot

Ich bin momentan dabei, einige restful-web-services und bin mit Spring-Boot zum erstellen eines eingebetteten tomcat-container.

Einer der Anforderungen ist, dass diese realisiert 2-Wege-SSL. Ich habe auf der Suche im HttpSecurity Objekt und können es nur die webservices über einen SSL-Kanal mit diesem:-

@Override
protected void configure(HttpSecurity http) throws Exception {

    System.out.println("CONFIGURED");

    http
        //...
        .requiresChannel()
            .anyRequest().requiresSecure();
}

Was ich kann nicht scheinen zu finden ein Weg, um die webservice-Zugang nur für Anwendungen, die eine gültige client-cert.

Ich habe nur grundlegende Kenntnisse von SSL so auch in einen Allgemeinen Zeiger in die richtige Richtung wäre zu schätzen.

Server bereitgestellt wird, wird auf einen mix von Anwendungen - dies ist der einzige, der muss gesperrt werden mit 2-Wege-SSL. Was ich wirklich Suche, ist eine Möglichkeit, die Sperrung einer einzelnen Anwendung nur Clientzertifikate akzeptieren.

Danke für die Antwort. Der link scheint zu sein, für die komplette Sperrung des tomcat 7 jedoch server bereitgestellt werden, die auf eine gemeinsame Ressource ist, so wird eine Mischung von gesicherten und ungesicherten Gegenstände auf Sie. Was ich wirklich Suche, ist eine Möglichkeit, durch das sperren einer einzigen web-Anwendung mit Spring Security und client-certs.
Also vielleicht der eingebettete tomcat-container von Spring Boot, die ich brauche, zu schauen, mehr.

InformationsquelleAutor Andrew Mc | 2015-11-19

6

Könnten Sie konfigurieren clientAuth=want finden Sie Apache Tomcat 8 Konfiguration Und Referenz:

Eingestellt true wenn Sie möchten, dass die SSL-stack benötigen eine gültige Zertifikatskette vom Kunden vor der Annahme einer Verbindung. Eingestellt want wenn Sie möchten, dass die SSL-stack zur Anforderung eines client-Zertifikats, aber nicht fehl, wenn man sich nicht präsentiert. Ein false Wert (das ist der Standard) wird nicht verlangen, eine Zertifikat-Kette, es sei denn, der client fordert eine Ressource an, geschützt durch ein Sicherheits-Einschränkung mit CLIENT-CERT Authentifizierung.

und dann Lesen Sie das client-Zertifikat mit Spring Security - X. 509-Authentifizierung:

Können Sie auch die Verwendung von SSL mit "gegenseitigen Authentifizierung"; der server wird dann fordern Sie ein gültiges Zertifikat vom client als Teil des SSL-Handshakes. Der server authentifiziert den client durch die überprüfung, dass das Zertifikat ist unterzeichnet von einem akzeptablen Behörde. Wenn kein gültiges Zertifikat bereitgestellt worden sein, kann es sein, die durch die servlet-API in eine Anwendung. Spring Security-X. 509-Modul extrahiert die Bescheinigung über einen filter. Es ordnet das Zertifikat, um eine Applikation, Benutzer und Lasten des Benutzers gesetzt, der gewährt Behörden für die Verwendung mit der standard-Spring Security-Infrastruktur.

und

clientAuth kann auch so eingestellt werden want wenn Sie wollen immer noch SSL-verbindungen zu gelingen, auch wenn der client kein Zertifikat. Kunden, die nicht vorhanden ein Zertifikat wird nicht in der Lage sein, um Zugriff auf alle Objekte gesichert, die von Spring Security, es sei denn, Sie verwenden eine nicht-X. 509-Authentifizierung Mechanismus, wie die Formular-Authentifizierung.

InformationsquelleAutor dur

Stieß ich auf ein ähnliches problem, und dachte, ich würde teilen die Lösung, die ich kam mit.

Zuerst müssen Sie verstehen, dass das SSL-Zertifikat wird für die Authentifizierung behandelt werden, die auf Ihren web-server die Seite (cfr. dur die Erklärung, mit der "clientAuth=wollen" - Einstellung).
Dann, Ihre web-app muss konfiguriert werden, um die bereitgestellten (und zulässig) Zertifikat anzeigen an einen Benutzer usw.

Dem leichten Unterschied, den ich mit Euch habe, ist, dass ich die Verpackung meiner spring-boot-Anwendung in ein KRIEGS-Archiv, das ist dann bereitgestellt, die auf einem vorhandenen Tomcat application server.

Mein Tomcat server.xml Konfigurations-Datei definiert, eine HTTPS-connector wie folgt:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/opt/tomcat/conf/key-stores/ssl-keystore.jks"
    keystorePass=“some-complex-password“
    clientAuth="want" sslProtocol="TLS"
    truststoreFile="/opt/tomcat/conf/trust-stores/ssl-truststore.jks"
    truststorePass=“some-other-complex-password” />

Kleine Anmerkung um Verwirrung zu vermeiden: Attribute keystoreFile enthält das Zertifikat/private key pair verwendet für SSL (nur), während truststoreFile enthält die erlaubten CA-Zertifikate für SSL-client-Authentifizierung (Hinweis: Sie können auch fügen Sie die client Zertifikate direkt in das trust-store).

Wenn Sie über einen embedded tomcat-container mit spring-boot-Anwendung, sollten Sie in der Lage sein, um diese Einstellungen zu konfigurieren, die in Ihrer Anwendung-Eigenschaften-Datei, mit der folgenden Eigenschaft-Schlüssel/- Werte:

server.ssl.key-store=/opt/tomcat/conf/key-stores/ssl-keystore.jks
server.ssl.key-store-password=some-complex-password
server.ssl.trust-store=/opt/tomcat/conf/trust-stores/ssl-truststore.jks
server.ssl.trust-store-password=some-other-complex-password
server.ssl.client-auth=want

Dann, auf meiner web-app, ich erkläre ein bestimmtes SSL-Konfiguration wie folgt:

@Configuration
@EnableWebSecurity
//In order to use @PreAuthorise() annotations later on...
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SSLAuthConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${allowed.user}")
    private String ALLOWED_USER;

    @Value("${server.ssl.client.regex}")
    private String CN_REGEX;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure (final HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
                .authorizeRequests()
                .antMatchers("/url-path-to-protect").authenticated() //Specify the URL path(s) requiring authentication...
            .and()
                .x509() //... and that x509 authentication is enabled
                    .subjectPrincipalRegex(CN_REGEX)
                    .userDetailsService(userDetailsService);
    }

    @Autowired
    //Simplified case, where the application has only one user...
    public void configureGlobal (final AuthenticationManagerBuilder auth) throws Exception {
        //... whose username is defined in the application's properties.
        auth
            .inMemoryAuthentication()
                .withUser(ALLOWED_USER).password("").roles("SSL_USER");
    }

}

Ich dann erklären müssen das UserDetailsService bean (z.B. in meiner Anwendung die main-Klasse):

@Value("${allowed.user}")
private String ALLOWED_USER;

@Bean
public UserDetailsService userDetailsService () {

    return new UserDetailsService() {

        @Override
        public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {
            if (username.equals(ALLOWED_USER)) {
                final User user = new User(username, "", AuthorityUtils.createAuthorityList("ROLE_SSL_USER"));
                return user;
            }
            return null;
        }
    };
}

... Und das ist es! Ich kann dann fügen Sie @PreAuthorize("hasRole('ROLE_SSL_USER')") Anmerkungen zu den Methoden, die ich sichern will.

Summe die Dinge ein wenig, die Authentifizierung wie folgt:

Benutzer SSL-Zertifikat,
Tomcat überprüft für Ihr Vertrauen-store ;
Die benutzerdefinierte WebSecurityConfigurerAdapter ruft einen "Benutzernamen" aus dem Zertifikat-CN ;
Die Anwendung authentifiziert den Benutzer verbunden, um die abgerufene Benutzername ;
Auf methodenebene, wenn annotiert mit @PreAuthorize("hasRole('SSL_USER')"), wird die Anwendung überprüfen, ob der Benutzer die gewünschte Rolle.

InformationsquelleAutor veebee

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.