【发布时间】:2015-05-28 21:05:32
【问题描述】:
我的公司正在过渡到基于云的应用服务器。关键应用程序将继续在内部运行,但选定的新应用程序将在基于云的应用程序服务器上运行。许多内部应用程序服务器为客户端应用程序提供 REST 端点。目前,该公司使用白名单进行客户身份验证。这对于单实例云服务来说是可以的。我们使用 AWS,因此弹性 IP (EIP) 可以完美地用于单个或几个实例。但是,我认为对于根据需求来扩大和缩小实例的云服务器应用程序使用我们公司的白名单 IP 政策是有问题的。超出几个 EIP 的任何事情都变得困难。至少在我看来。
我正在考虑使用 X.509 证书名称验证。换句话说,一旦验证了证书并交换了会话密钥,我将使用有效名称列表验证证书上的名称。如果名称匹配,我将继续会话。否则,如果名称不匹配,会话将关闭并显示 403 错误代码。这是在客户端和服务器上完成的,因此两者都相互验证。是否可以在 Tomcat 中将此名称检查作为 config.xml 的一部分或其他自动的东西?换句话说,这是一种自动方式,因此我不必修改端点 HTTPS 代码。还是我必须修改 HTTPS 代码以包括对证书名称的检查?这有意义还是有更好的方法?
最好的问候, 史蒂夫·曼斯菲尔德
【问题讨论】:
标签: security ssl amazon-web-services https x509