如何确保 Liferay 使用 TLS 进行身份验证

Question 1

更正我原来的答案在我似乎误读了这个问题之后 - 编辑后更清楚地表明了 LDAP 连接的意思。

不幸的是，我现在无法给出一个很好的答案，但希望能够提供一些有用的指示：

当您通过 SSL 使用 LDAP 连接时，您需要确保 tomcat（连接的发起者）信任 LDAP 服务器提供的证书。此证书很可能不是由已知且受信任的机构颁发的（例如，它可能是自签名的）。

请记住，SSL 不仅意味着加密，还意味着信任另一端，相信它是它声称的那个：如果任何中间人可以让你连接到加密的自己，那么依赖加密就是愚蠢的。因此，您需要一些您连接的一方的身份证明。

当您在 Google 上搜索“LDAP SSL Java”时，您会得到很多结果，这些结果提供了有关如何配置 tomcat 虚拟机（及其密钥库）的很好示例和说明。是的，您需要将信任配置到该虚拟机。http://docs.oracle.com/javase/jndi/tutorial/ldap/security/ssl.html包含基本指针（在介绍段落中），说明

安装并配置 JSSE 后，您需要确保客户端信任您将要使用的 LDAP 服务器。您必须在 JRE 的受信任证书数据库中安装服务器的证书（或其 CA 的证书）。以下是示例。
# cd JAVA_HOME/lib/security
# keytool -import -file server_cert.cer -keystore jssecacerts
有关如何使用安全工具的信息，请参阅 Java 教程的 Java 2 平台安全跟踪。有关 JSSE 的信息，请阅读 JSSE 参考指南

基本上：如果您没有使用 keytool，您可能没有在 Liferay VM 中设置对 LDAP 服务器证书的信任。请记住，您还没有完成，您仍然需要将使用 keytool 操作的密钥库包含到您的 VM 中。我希望日志文件中出现与信任相关的错误消息。由于您既没有提供日志文件，也没有提供您建立了何种信任的信息，请提供或让我知道您是否需要更多信息

原始答案（在澄清 LDAP 连接的含义之前）：

检查 Liferay 的 portal.properties 默认配置，并在 $LIFERAY_HOME/portal-ext.properties 中覆盖它。在那里你会找到默认值

#
# Set this to true to ensure users login with https. If this is set to true
# and you want your HTTP session to contain your credentials after logging
# in, then the property "session.enable.phishing.protection" must be set to
# false or your credentials will only be available in the HTTPS session.
#
company.security.auth.requires.https=false

如果将其设置为 true，那么您可能就会拥有想要的一切。

当然，这假设你已经设置并正确运行了 https（例如，如果你访问https://本地主机/或者你的服务器所在的位置（或https://本地主机:8443如果您使用自定义端口 8443）。如何执行此操作取决于配置应用程序服务器。一旦 Liferay 在您通过 https 访问时正确响应，您就可以执行其余操作。

Answer