我有 3 个 Tomcat 应用服务器,前面有 3 个 Apache 服务器。Apache 和 Tomcats 之间的通信是通过 mod_jk 完成的。我需要在 Tomcat 和 Apache 服务器之间建立安全连接。为了确保此连接的安全,必须对其进行加密和身份验证(以防止中间人攻击)。
需要说明的是,我并不是想验证客户端的身份。只是想确保 Tomcat 和 Apache 之间的流量不会被嗅探。
我一直在寻找,但找不到让 mod_jk 验证 Tomcat 公开的证书的方法。知道我应该在哪里寻找吗?
感谢您的帮助 !
答案1
不幸的是,我认为无法通过 AJP 连接器进行服务器身份验证。
虽然客户端证书可以通过 传达到 Tomcat 服务器SSLOptions +ExportCertData
,但是 AJP 连接本身是明文的,无法在任一方向对 AJP 客户端(Apache)或 AJP 服务器(Tomcat)进行身份验证。
如果需要服务器身份验证,您可能被迫切换到 HTTPS。如果出于某种原因需要 AJP,可以选择在 AJP 协议之外添加额外的安全层,以进行相互身份验证和连接安全;SSH 端口转发或 IPsec 策略就是其中之一。