我正在为 Tomcat 8.5 配置 TLS,使用自签名证书进行 Postgres 通信。
向 Tomcat 提供证书、PK(以 PKCS12 格式捆绑)和 CA 证书(根证书)的最佳方式是什么?
Tomcat 被设置为服务,因此最好提供启动 VM 参数。我试图在 Configure Tomcat -> Java Opts 中提供这些
-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.ssl.trustStore=D:\test\data\pg_cert\truststore
-Djavax.net.ssl.trustStorePassword=changeit
但是 Tomcat 似乎没有加载这些。如果我使用独立的 Java 类对此进行测试,那么它能够连接。
我在某处读到,在 tomcat 启动脚本中提供证书可能是一种选择,但是为了在生产中保持最小的更改,这将是最后的选择。
【问题讨论】:
标签: postgresql ssl tomcat
JDBC 连接必须包含 url 参数:
如果您使用相互身份验证,则 Postgres-Server 必须提供他的公钥,并且必须在 Postgres-Server 信任库中保存客户端的公钥。
更多信息请访问"Configuring the Client" 页面。
我想警告您:pki 是一个复杂的术语,SSL 会话可能会持续数周才能知道证书已被 OCSP 停用。我更喜欢直接将密码传递给服务器启动/停止脚本,而不将密码存储到文件系统中。
【讨论】:
%% Invalidated: ..SEND TLSv1.2 ALERT: fatal, description = certificate_unknown ..sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target PS:此项目使用通配符证书,以便从第三方获取数据。有什么提示吗?