我可以为每个 servlet 使用不同的 SSL 证书吗？

Posted 2023-02-26

【中文标题】我可以为每个 servlet 使用不同的 SSL 证书吗？

【英文标题】：Can I have different SSL certificate for each servlet?

【发布时间】：2014-08-23 14:52:41

【问题描述】：

这是我的 GWT Web 应用程序中 web.xml 配置的 sn-p

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE web-app
    PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
    "http://java.sun.com/dtd/web-app_2_3.dtd">

      <web-app>

      <servlet>
       <servlet-name>firstServlet</servlet-name>
       <servlet-class>com.test.server.First</servlet-class>
      </servlet>


      <servlet>
       <servlet-name>secondServlet</servlet-name>
       <servlet-class>com.test.server.Second</servlet-class>
      </servlet>


      <servlet>
       <servlet-name>thirdServlet</servlet-name>
       <servlet-class>com.test.server.Third</servlet-class>
      </servlet>

    </web-app>

比方说：

firstServlet 是来自浏览器的每个查询的入口点 secondServlet 是来自 android 应用的每个查询的入口点 thirdServlet 是来自 ios 应用的每个查询的入口点

问题：

1 - 我可以为 secondServlet 和 thirdServlet 使用不同的 SSL 证书（可能是自签名的）而不影响 firstServlet 吗？ （这意味着 firstServlet 将接受 http 查询，secondServlet 和 thirdServlet 将只接受 httpS 查询）。

2 - 我该怎么做？ （web.xml 等相关 Servlet 所需的语法...）

谢谢，

【问题讨论】：

我不认为你可以；证书用于授权整个主机，而不仅仅是一个应用程序

这个问题似乎离题了，因为它与编程无关。请参阅帮助中心的What topics can I ask about here。也许Server Fault、Webmaster Stack Exchange 或Web Apps Stack Exchange 会是一个更好的提问地点。

@kolossus - 有一些标准可以验证服务器及其服务，而不仅仅是服务器。例如，参见RFC 6125, Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)。不过，我不知道 Apache 或 nginx 是否公开了它。这要问服务器管理员或网站管理员。

【参考方案1】：

实现这一目标的一种方法是结合应用程序和 Web 服务器配置。使用 Apache2 作为带有模块 mod_rewrite 的 web-front，您可以配置此重定向。然后，在您的应用程序中，您需要让每个 Servlet 在不同的 URL 中应答（映射）。

按照下面的例子，在第一个块中，HTTP 80 端口是 re:

在 apache 中，在 conf.d 目录中创建一个新的 conf 文件，如下例所示：

<VirtualHost 10.0.0.199:80>
    (...)
    #redirect all to https
    RewriteEngine on
    RewriteCond %HTTP_HOST   !^www\.yourdomain\.com [NC]
    RewriteCond %HTTP_HOST   !^$
    RewriteRule ^/(.*)         https://www.yourdomain.com/$1 [L,R]
    (...)
    #redirect based on URI to https
    RewriteCond %REQUEST_URI !^\/servlet1\/
    RewriteRule (.*) https://%HTTP_HOST$1 [L,R=301]
    (...)
</VirtualHost>

<VirtualHost 10.0.0.199:443>
    (...)
    RewriteEngine on
    RewriteCond %HTTP_HOST   !^www\.yourdomain\.com [NC]
    RewriteCond %HTTP_HOST   !^$
    RewriteRule ^/(.*)         https://www.yourdomain.com/$1 [L,R]
    (...)
</VirtualHost>

看看http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html

【讨论】：

非常正确，但您不需要重写或重定向，只需 mod_proxy 或 mod_proxy_ajp。

感谢您的回答@mchamati。不过，您是否有一个简短的实际示例来描述您的概念？这个解释对我来说似乎有点太技术性了。先感谢您。问候

所有这些重写/反向代理都发生在证书发送之后。如果您想重定向到不同的服务器，这很好，但如果您想事先选择证书，则不行。

【参考方案2】：

传统上，一个 IP 上只有一个证书。因此，如果您可以让您的 Web 服务器在其自己的 IP 地址（这也意味着另一个主机名）上处理每个 servlet，您就可以做到。示例：您在 servlet1.example.com 有一个服务器，在 servlet2.example.com 有另一个服务器，并且两台服务器都有不同的 IP 地址，那么您可以在每台服务器上使用具有不同证书的不同 servlet，或者您也可以拥有一台没有证书的服务器。

使用服务器名称指示，同一 IP 地址上可以有多个主机名，每个主机名可以有自己的证书。但是，不可能有任何没有证书的主机名，因为它们的 Web 服务器将在相同的 IP/端口上侦听 SSL 连接，并且只有在它从客户端获得初始 Hello 后才决定将提供哪个证书。因此，如果您只有几个 IP 地址，但每个 servlet 可以有一个唯一的主机名，那么您可以使用 SNI 来实现。但是任何应该没有证书的 servlet 都需要从与 https servlet 不同的 IP 地址提供服务。示例：如果您有 servlet1.example.com 和 servlet2.example.com 共享相同的 IP 地址，那么如果客户端支持 SNI（所有最近的浏览器都支持，但 IE8 不支持），那么您可以为每个服务器使用不同的证书）。但是你不能让 servlet1.example.com 成为 SSL，而 servlet2.example.com 不能，只要它们共享相同的 IP 地址。

不可能有特定于 URL 路径的证书，因为路径只有在 SSL 握手之后才知道，例如在已经提供证书之后。示例：https://www.example.com/servlet1 和 https://www.example.com/servlet2 无法使用不同的证书，因为它们共享相同的主机名并且仅在 URL 的路径上有所不同。

【讨论】：

确实有可能。如果服务器想要根据路径发送不同的证书，则可以启动重新握手。

@EJP，原则上是这样，但所有这些不同的证书肯定需要对最初请求的相同主机名有效（这似乎有点毫无意义）。

感谢您的回答@Steffen。不过，您是否有一个简短的实际示例来描述您的概念？这个解释对我来说似乎有点太技术性了。先感谢您。问候，

@user3793589：我希望我刚刚添加的示例有助于更好地理解问题。

@EJP：虽然可以通过重新协商来更改证书，但我知道没有服务器支持根据 URL 的路径重新协商到新证书。我也不确定客户是否会接受与原始请求不匹配的证书更改。你有更多关于这方面的信息吗？