目前,我们已将 Glassfish 配置为使用 CRL。我们有一个批处理脚本,该脚本每晚运行一次,下载最新的 CRL 并更新我们的列表。最近,我们遇到了下载不工作的问题,从而导致用户无法访问我们的应用程序。
我们正在考虑改用 OCSP,因为它不需要我们下载和处理任何东西。我从未使用过 OCSP,甚至从未配置过应用服务器以使用 OCSP。我搜索了有关设置它的信息/教程,但一无所获,甚至无法验证 Glassfish 是否支持 OCSP。
有人知道 Glassfish 是否支持 OCSP 吗?如果支持,您能告诉我如何在 Glassfish 中设置它吗?
答案1
不是专门对 Glassfish 进行评论,而是在 OpenJDK 6 上,包中内置了对 OCSP 的支持sun.security.provider.certpath,因此应该(希望)能够过滤到您的工作流程的某个地方。
但是,也就是说,如果下载没有成功,同样的问题也可能导致 OCSP 检查失败。毕竟,它实际上需要与 OCSP 端点通信以查看证书是否已被撤销。您应该运行网络监视器(例如tcpdump)以查看是否正在建立所需的连接。
答案2
Glassfish 确实支持 OCSP,但是在我们的环境和我们所做的工作中,我们无法让它工作。关于如何设置它,有相当不错的说明这里。我们最终的方案是使用 Apache 作为 Glassfish 的前端,并使用 Tumbleweed Server Validator 来处理 OCSP。
网络上有一些使用 Apache 实现 Glassfish 负载平衡的说明。Apache 使用 Tomcat 连接器与 Glassfish 配合使用。如果您运行的是 Glassfish V2,请按照描述的步骤操作这里将会起作用(这就是我们正在运行的)。如果您使用的是 Glassfish v3 Prelude,则描述的步骤如下这里可以工作。在 V3 中,他们让 Glassfish 与 Apache 的前端变得更容易一些,至少在 Glassfish 方面是这样。
我希望这可以在将来对其他人有所帮助,因为我花了一段时间才让这一切正常运转并找到我需要的信息。