我已成功将Apache(2.4.7)配置为需要客户端证书,并作为反向代理将证书中的信息转发到Tomcat 8服务器。
当试图完成同样的Spring Boot,但是,它失败了
The proxy server received an invalid response from an upstream server
The proxy server could not handle the request GET /myapp
并返回HTTP 502错误代码。
相关的、有效的Tomcat配置是:
<Connector SSLEnabled="true" clientAuth="want" keyAlias="myalias"
keystoreFile="mystore.jks" keystorePass="mypassword" maxThreads="150"
port="8443" protocol="HTTP/1.1" scheme="https" secure="true"
sslProtocol="TLS" truststoreFile="mystore.jks" truststorePass="mypassword"/>
Spring Boot应用程序.properties文件中不起作用的相关部分:
server.context-path=/myapp
server.port=8443
server.ssl.enabled=true
server.use-forward-headers=true
server.ssl.protocol=TLS
server.ssl.client-auth=need
server.ssl.key-alias=myalias
server.ssl.key-store=/path/to/mykeystore.jks
server.ssl.key-store-password=mypassword
server.ssl.key-password=mypassword
server.ssl.trust-store=/path/to/mykeystore.jks
server.ssl.trust-store-password=mypassword
server.tomcat.remote-ip-header=x-forwarded-for
server.tomcat.port-header=x-forwarded-port
请注意,当直接访问应用程序(即请求https://myapp.company. tld:12345/myapp)时,它工作正常,但使用反向代理(即https://proxy-load-balancer.company.tld:12345/myapp)会引发上述错误。
端口差异(12345 与配置的 8443)是由于中间 Docker 层造成的:反向代理和应用程序都在容器中运行,它们的开放端口(443 表示 Apache,8443 表示 Tomcat/Spring Boot)映射到不同的端口,即 12345。
好了,一切都解决了。首先,这个Spring Security设置
server.ssl.client-auth=need
将始终强制嵌入式Tomcat请求证书,因此在客户端=
但事实证明,使用
server.ssl.client-auth=want
启用对您的请求的进一步处理,人们通常做的是在反向代理级别处理证书并将一些信息转发到后端服务器(Tomcat、Jetty等)。
最后,开发人员必须调整他们的Spring Boot应用程序来处理后一种操作模式,即从转发的HTTP请求的标头中提取数据并在此基础上继续进行身份验证。