La mise en œuvre de manière 2 SSL à l'aide de spring boot

Je suis la création de certains services web restful et je suis à l'aide de Spring-Boot pour créer un conteneur tomcat intégré.

L'une des exigences est que cela met en œuvre de manière 2 SSL. J'ai été à la recherche à la HttpSecurity objet et pouvez l'obtenir pour seulement exécuter les webservices par un canal SSL à l'aide de ceci:-

@Override
protected void configure(HttpSecurity http) throws Exception {

    System.out.println("CONFIGURED");

    http
        //...
        .requiresChannel()
            .anyRequest().requiresSecure();
}

Ce que je n'arrive pas à trouver est une manière de rendre le service accessible uniquement pour les applications fournissant un client valide cert.

Je n'ai qu'une connaissance de base de SSL de telle sorte que même un général pointeur dans la bonne direction serait appréciée.

Le serveur, c'est en cours de déploiement sur aurez un mélange d'applications - c'est le seul qui doit être verrouillé avec le 2-way SSL. Ce que je suis vraiment à la recherche d'un moyen de verrouillage vers le bas une seule application pour accepter les certificats clients.

Merci pour la réponse. Le lien semble être pour compléter le verrouillage de l'tomcat 7 toutefois, le serveur va être déployé est une ressource partagée n'auront donc un mélange de garantis et non garantis. Ce que je suis vraiment à la recherche d'un moyen de verrouillage vers le bas d'une simple application web en utilisant le Printemps de Sécurité et les certificats clients.
Donc sa peut-être intégré à l'conteneur tomcat à partir du Printemps de Démarrage j'ai besoin de regarder en plus.

OriginalL'auteur Andrew Mc | 2015-11-19

  1. 6

    Vous pouvez configurer clientAuth=want, voir Apache Tomcat 8 Configuration De Référence:

    Ensemble de true si vous voulez que le SSL pile à exiger une chaîne de certificat valide de la part du client avant d'accepter une connexion. Mis à want si vous voulez que le SSL pile à demander un Certificat au client, mais pas échouer si un seul n'est pas présenté. Un false valeur (qui est la valeur par défaut) ne seront pas besoin d'un certificat de la chaîne, sauf si le client demande une ressource protégée par une sécurité de contrainte qui utilise CLIENT-CERT d'authentification.

    et ensuite lire le certificat du client avec Spring Security - X. 509 De L'Authentification:

    Vous pouvez également utiliser le protocole SSL avec "l'authentification mutuelle"; le serveur va alors demander un certificat valide de la part du client dans le cadre de la négociation SSL. Le serveur authentifie le client en vérifiant que son certificat est signé par une acceptable par l'autorité. Si un certificat valide a été fourni, il peut être obtenu par le biais de la servlet API dans une application. Printemps de Sécurité X. 509 module extrait le certificat à l'aide d'un filtre. Il cartes le certificat d'un utilisateur de l'application, ainsi que des charges de l'utilisateur de l'ensemble de accordée autorités pour une utilisation avec la norme de Printemps de l'infrastructure de Sécurité.

    et

    clientAuth peut également être configuré pour want si vous voulez encore des connexions SSL de réussir, même si le client ne fournit pas un certificat. Les Clients qui ne présentent pas un certificat ne seront pas en mesure d'accéder aux objets sécurisés par le Printemps de Sécurité, sauf si vous utilisez un non-X. 509 mécanisme d'authentification, tels que le formulaire d'authentification.

    OriginalL'auteur dur

  2. 9

    Je suis tombé sur un problème similaire, et j'ai pensé partager la solution je suis venu avec.

    Tout d'abord, vous devez comprendre que le certificat SSL authentification seront traitées sur votre serveur web côté (cfr. dur d'explication, avec le “clientAuth=voulez”).
    Ensuite, votre application web doit être configuré pour gérer la condition (et autorisé) certificat, carte à un utilisateur etc.

    La légère différence que j'ai avec vous, c'est que je suis emballage de mon ressort de démarrage de l'application dans une GUERRE d'archive, qui est ensuite déployée sur un serveur d'application Tomcat.

    Mon Tomcat server.xml fichier de configuration définit un connecteur HTTPS comme suit:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    keystoreFile="/opt/tomcat/conf/key-stores/ssl-keystore.jks"
    keystorePass=“some-complex-password
    clientAuth="want" sslProtocol="TLS"
    truststoreFile="/opt/tomcat/conf/trust-stores/ssl-truststore.jks"
    truststorePass=“some-other-complex-password />

    Petit commentaire pour éviter toute confusion: keystoreFile contient le certificat/clé privée de la paire de SSL (seulement), tandis que truststoreFile contient le permis de certificats d'autorité de certification pour le client, de l'authentification SSL (notez que vous pouvez également ajouter le certificat du client directement dans cette confiance-store).

    Si vous utilisez un tomcat intégré contenant printemps de démarrage de l'application, vous devriez être en mesure de configurer ces paramètres dans votre application fichier de propriétés, en utilisant la propriété suivante clés/valeurs:

    server.ssl.key-store=/opt/tomcat/conf/key-stores/ssl-keystore.jks
server.ssl.key-store-password=some-complex-password
server.ssl.trust-store=/opt/tomcat/conf/trust-stores/ssl-truststore.jks
server.ssl.trust-store-password=some-other-complex-password
server.ssl.client-auth=want

    Puis, dans mon application web, je déclare un SSL configuration comme suit:

    @Configuration
@EnableWebSecurity
//In order to use @PreAuthorise() annotations later on...
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SSLAuthConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${allowed.user}")
    private String ALLOWED_USER;

    @Value("${server.ssl.client.regex}")
    private String CN_REGEX;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure (final HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
                .authorizeRequests()
                .antMatchers("/url-path-to-protect").authenticated() //Specify the URL path(s) requiring authentication...
            .and()
                .x509() //... and that x509 authentication is enabled
                    .subjectPrincipalRegex(CN_REGEX)
                    .userDetailsService(userDetailsService);
    }

    @Autowired
    //Simplified case, where the application has only one user...
    public void configureGlobal (final AuthenticationManagerBuilder auth) throws Exception {
        //... whose username is defined in the application's properties.
        auth
            .inMemoryAuthentication()
                .withUser(ALLOWED_USER).password("").roles("SSL_USER");
    }

}

    Que je puis avoir besoin de déclarer la UserDetailsService bean (par exemple, dans mon Application principale de la classe):

    @Value("${allowed.user}")
private String ALLOWED_USER;

@Bean
public UserDetailsService userDetailsService () {

    return new UserDetailsService() {

        @Override
        public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {
            if (username.equals(ALLOWED_USER)) {
                final User user = new User(username, "", AuthorityUtils.createAuthorityList("ROLE_SSL_USER"));
                return user;
            }
            return null;
        }
    };
}

    Et c'est tout! Je peux alors ajouter @exiger une autorisation préalable(“hasRole(‘ROLE_SSL_USER’)”) des annotations pour les méthodes que je veux sécurisé.

    Pour résumer un peu les choses, le flux d'authentification sera comme suit:

    1. Utilisateur fournit un certificat SSL ;
    2. Tomcat valide à l'encontre de sa confiance magasin ;
    3. La coutume WebSecurityConfigurerAdapter récupère un “nom d'utilisateur” à partir de la CN du certificat ;
    4. L'application authentifie l'utilisateur associé à l'extrait de nom d'utilisateur ;
    5. Au niveau de la méthode, si annotée avec @exiger une autorisation préalable("hasRole('SSL_USER')"), l'application va vérifier si l'utilisateur a le rôle requis.

    OriginalL'auteur veebee