GlassfishとOCSP
現在、GlassfishはCRLで動作するように構成されています。毎晩実行され、最新のCRLをダウンロードし、リストを更新するバッチスクリプトがあります。最近、ダウンロードが機能しないという問題が発生しているため、アプリケーションにアクセスするユーザーに問題が発生しています。
何もダウンロードして処理する必要がないため、代わりにOCSPへのスワップオーバーを検討しています。 OCSPを使用したことはなく、OCSPを使用するようにAppServerを構成したこともありません。これを設定するための情報/チュートリアルを検索しましたが、手ぶらで出てきて、GlassfishがOCSPをサポートしていることを確認することさえできませんでした。
GlassfishがOCSPをサポートしているかどうか誰か知っていますか?もしそうなら、Glassfishでこれを設定する上で正しい方向に私を向けることができますか?
GlassfishはOCSPをサポートしていますが、私たちの環境と私たちが行っていたことでは、それを機能させることができませんでした。これを設定する上でかなりまともな方向性があります ここ 。最終的に行ったのは、GlassfishをApacheで前面に出し、Tumbleweed ServerValidatorを使用してOCSPを処理することでした。
Webには、Apacheを前面に配置してGlassfishの負荷を分散する方法があります。 ApacheはTomcatコネクタを使用してGlassfishを操作します。 Glassfish V2を実行している場合、説明されている手順 ここ が機能します(これが実行中の手順です)。 Glassfish v3 Preludeを使用している場合は、説明されている手順 ここ が機能します。 V3では、少なくともGlassfish側では、Apacheを使用してGlassfishを前面に表示するのが少し簡単になりました。
これがすべて機能し、必要な情報を見つけるのに時間がかかったので、これが将来誰かに役立つことを願っています。
Glassfishについては特にコメントしていませんが、OpenJDK 6では、Sun.security.provider.certpathパッケージにOCSPのサポートが組み込まれているため、(うまくいけば)ワークフローのどこかにフィルターをかける必要があります。
ただし、その場合、ダウンロードが機能しなかった場合、この同じ問題によりOCSPチェックも失敗する可能性があります。結局のところ、証明書が取り消されているかどうかを確認するには、実際にはOCSPエンドポイントと通信する必要があります。ネットワークモニター(例:tcpdump)を実行して、必要な接続が確立されているかどうかを確認する必要があります。