У меня есть веб-приложение Tomcat 8, оно работает на порту 8080 на сервере. Любой входящий запрос на порт 443 перенаправляется на localhost:8080 с использованием Nginx для обслуживания веб-приложения.
Я пытаюсь настроить взаимную аутентификацию, а затем проанализировать сертификат клиента, который использовался для аутентификации приложением. Затем эта информация будет использоваться приложением, чтобы решить, должен ли пользователь иметь права admin или user. Сертификат клиента будет иметь строку admin или user в поле Common Name (CN).
Я могу добиться взаимной аутентификации, и ниже приведен текущий nginx ssl.conf. Но проблема в том, что информация о сертификате не передается веб-приложению tomcat для анализа данных. Есть ли в nginx способ передачи данных сертификата клиента, чтобы приложение tomcat8 могло его использовать?
server {
listen 443 default_server;
server_name name.domain.com;
ssl on;
ssl_certificate /etc/nginx/self-signed.pem;
ssl_certificate_key /etc/nginx/self-signed.pem;
ssl_protocols SSLv2 TLSv1 TLSv1.1 TLSv1.2;
ssl_client_certificate /etc/nginx/ca.cert.pem;
ssl_verify_client optional;
ssl_verify_depth 2;
ssl_session_timeout 5m;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
port_in_redirect off;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#test page for the load balancer
location /loadbalancer {
add_header X-Frame-Options "DENY";
auth_basic off;
#proxy_pass http://localhost:8080;
try_files $uri /test.html;
}
location /webapi {
add_header X-Frame-Options "DENY";
auth_basic off;
proxy_pass http://localhost:8080;
}
location / {
if ($ssl_client_verify != SUCCESS)
{
return 403;
break;
}
add_header X-Frame-Options "DENY";
proxy_pass http://localhost:8080;
}
error_page 404 /404.html;
location = /404.html {
root /usr/share/nginx/html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
