我无法使Apache CXF客户端grails插件与双向SSL身份验证一起使用。我正在调用的Web服务提供了一个开发环境URL,它不需要双向身份验证,并且一切正常。但是,他们提供的测试环境URL确实需要双向身份验证,因此我无法使其正常工作。

grails应用程序正在Windows服务器上的Tomcat中运行。

我已经编写了一个独立的Java测试应用程序来测试2路身份验证。我用适当的密钥库,信任库等来称呼它,并且工作正常。 (这是一个纯Java应用程序,没有CXF。)我已经将相同的Java类导入到在Tomcat上运行的grails应用程序中,并且也可以使用。但是,如前所述,使用CXF进行调用时,它不起作用。

我已在Tomcat中打开-Djavax.net.debug = ssl,可以看到当服务器发送CertificateRequest消息时,客户端没有在发送回证书。 (使用Java类时,客户端会使用正确的证书进行响应。)

我尝试了几种设置密钥库和信任库参数的方法。我当前在启动Tomcat时通过使用++ JvmOptions设置它们:

++JvmOptions
-Xrs;
-Djavax.net.debug=ssl;
-Djavax.net.ssl.trustStore=C:\path\to\truststore.jks;
-Djavax.net.ssl.keyStore=C:\path\to\keystore.jks;
-Dhttps.cipherSuites=SSL_RSA_WITH_3DES_EDE_CBC_SHA;
-Djavax.net.ssl.keyStorePassword=password;
-Djavax.net.ssl.trustStorePassword=password

我目前正在使用cxf-client:2.0.3,尽管我也尝试过使用cxf-client:1.5.6。

最佳答案

我不熟悉grails,但是您的cxf客户端调用看起来如何?您是否将密钥库/信任库添加到http管道?

例:

<http:conduit name="https:...">
    <http:tlsClientParameters>
        <sec:trustManagers>
                <sec:keyStore type="JKS" password="password" file="..."/>
            </sec:trustManagers>
            <sec:keyManagers keyPassword="password">
                <sec:keyStore type="JKS" password="password" file="..."/>
            </sec:keyManagers>
        <sec:cipherSuitesFilter>
        ...
        </sec:cipherSuitesFilter>
    </http:tlsClientParameters>
    <http:client AutoRedirect="true" Connection="Keep-Alive"/>
</http:conduit>

09-19 00:41