Назад | Перейти на главную страницу

Glassfish и OCSP

В настоящее время мы настроили Glassfish для работы с CRL. У нас есть пакетный сценарий, который запускается каждую ночь, загружает последний CRL и обновляет наш список. В последнее время у нас были проблемы с загрузкой, которая не работала, что создавало проблемы для наших пользователей при доступе к нашему приложению.

Вместо этого мы планируем перейти на OCSP, поскольку он не требует от нас ничего загружать и обрабатывать. Я никогда не использовал OCSP или многое другое настраивал сервер приложений для использования OCSP. Я искал информацию / руководства по настройке и пришел с пустыми руками и даже не смог проверить, поддерживает ли Glassfish OCSP.

Кто-нибудь знает, поддерживает ли Glassfish OCSP? Если да, можете ли вы указать мне правильное направление при настройке этого в Glassfish?

Не комментируя конкретно Glassfish, но в OpenJDK 6 есть встроенная поддержка OCSP в sun.security.provider.certpath package, так что он (надеюсь) должен где-нибудь проникнуть в ваш рабочий процесс.

Но, таким образом, если загрузки не работали, эта же проблема может привести к сбою проверки OCSP. В конце концов, для этого на самом деле требуется поговорить с конечной точкой OCSP, чтобы узнать, был ли сертификат отозван. Вы должны запустить сетевой монитор (например, tcpdump), чтобы увидеть, выполняются ли необходимые подключения.

Glassfish поддерживает OCSP, но с нашей средой и тем, что мы делали, мы не могли заставить его работать. Есть довольно приличные инструкции по настройке этого Вот. В конечном итоге мы сделали фронт Glassfish с Apache и использовали Tumbleweed Server Validator для обработки OCSP.

В Интернете есть инструкции по балансировке нагрузки Glassfish с помощью Apache. Apache использует коннектор Tomcat для работы со Glassfish. Если вы используете Glassfish V2, шаги, описанные Вот будет работать (это то, что мы запускаем). Если вы используете Glassfish v3 Prelude, выполните описанные действия. Вот буду работать. В V3 они немного упростили работу с Glassfish с Apache, по крайней мере, со стороны Glassfish.

Я надеюсь, что это может помочь кому-то другому в будущем, поскольку мне потребовалось время, чтобы все это заработало и найти нужную информацию.