Glassfish 和 OCSP
我們目前已將 Glassfish 配置為與 CRL 一起使用。我們有一個每晚執行的批處理腳本,下載最新的 CRL,並更新我們的列表。最近我們遇到了下載無法正常工作的問題,從而導致我們的使用者訪問我們的應用程序出現問題。
我們正在考慮切換到 OCSP,因為它不需要我們下載任何內容並進行處理。我從未使用過 OCSP 或更多配置應用伺服器來使用 OCSP。我搜尋了有關設置的資訊/教程,但空手而歸,甚至無法驗證 Glassfish 是否支持 OCSP。
有誰知道 Glassfish 是否支持 OCSP?如果確實如此,您能否指出我在 Glassfish 中進行設置的正確方向?
Glassfish 確實支持 OCSP,但由於我們的環境和我們所做的事情,我們無法使其工作。這裡有相當不錯的設置說明。我們最終做的是將 Apache 放在 Glassfish 前面,並使用 Tumbleweed Server Validator 來處理 OCSP。
在 Web 上,有通過 Apache 對 Glassfish 進行負載平衡的說明。Apache 使用 Tomcat 連接器與 Glassfish 一起工作。如果您正在執行 Glassfish V2,此處描述的步驟將起作用(這是我們正在執行的)。如果您使用的是 Glassfish v3 Prelude,此處描述的步驟將起作用。在 V3 中,他們讓 Glassfish 與 Apache 一起使用變得更容易一些,至少在 Glassfish 方面是這樣。
我希望這可以在未來對其他人有所幫助,因為我花了一段時間才讓這一切正常工作並找到我需要的資訊。
沒有特別評論 Glassfish,但在 OpenJDK 6 上,包中內置了對 OCSP 的支持
sun.security.provider.certpath,因此(希望)應該將其過濾到您的工作流程中的某個地方。但是,話雖如此,如果下載不起作用,同樣的問題也可能導致 OCSP 檢查失敗。畢竟,它實際上需要與 OCSP 端點交談以查看證書是否已被吊銷。您應該執行網路監視器(例如
tcpdump)來查看是否正在建立所需的連接。