0
나는 Tomcat 웹 서버에 배포 된 java에서 stateless 서비스를 가지고 있고 또한 2 way ssl autentication을 구성했습니다. 지금까지 모든 것이 잘 작동합니다. 새 클라이언트가있는 경우 새 클라이언트 인증서를 내 트러스트 소유자에 넣고 서비스를 다시 시작하면 새 클라이언트가 내 서비스를 사용할 수 있습니다.2 way ssl tomcat stateless 서비스 규모
하지만 내 서비스는 상태가없고 아무 문제가 없으므로 수평 확장이 필요하지만 10 대의 서버가있는 경우 각 서버로 이동하여 각 트러스트 파일에서이 변경을 수행하고 싶지 않습니다.
아이디어가 있으십니까?
아파치 만이 인증 할 수있는 posibility를 제공하기 때문에 haproxy 계층 3 고 가용성 균형 장치를 사용하고 있습니다. 따라서 응용 프로그램 계층에서 서비스 사용 권한을 확인하기 위해 클라이언트 인증서가 필요합니다. 아파치를 사용하면 클라이언트 인증서가 부하 분산을 수행하는 웹 서버로 이동하지 않는다고 생각합니다. – gvaldez
좋습니다. 흥미로운 접근 방법입니다. TLS는 인증을위한 프로토콜로 사용하기위한 것이며 인증 메커니즘은 실제로 TLS가 모든 권한 부여 요구 사항을 관리 할 수있는 충분한 유연성을 제공한다고 확신합니까? 차라리 다른 권한 부여 프레임 워크와 결합하고, 아파치도이를 처리 할 수 있습니다. 여기 LDAP의 예가 있습니다 : http://stackoverflow.com/questions/7635380/apache-ssl-client-certificate-ldap-authorizations – Camilo
SSL 연결을 종료하지만 인증서를 계속 전달하도록로드 밸런서를 구성 할 수 있어야합니다. 따라서 트러스트 스토어는로드 밸런서에서만 필요합니다. – EJP