我们目前已将 Glassfish 配置为与 CRL 一起使用。我们有一个每晚运行的批处理脚本,下载最新的 CRL,并更新我们的列表。最近我们遇到了下载无法正常工作的问题,从而导致我们的用户访问我们的应用程序出现问题。
我们正在考虑切换到 OCSP,因为它不需要我们下载任何内容并进行处理。我从未使用过 OCSP 或更多配置应用服务器来使用 OCSP。我搜索了有关设置的信息/教程,但空手而归,甚至无法验证 Glassfish 是否支持 OCSP。
有谁知道 Glassfish 是否支持 OCSP?如果确实如此,您能否指出我在 Glassfish 中进行设置的正确方向?
没有特别评论 Glassfish,但在 OpenJDK 6 上,包中内置了对 OCSP 的支持
sun.security.provider.certpath,因此(希望)应该将其过滤到您的工作流程中的某个地方。但是,话虽如此,如果下载不起作用,同样的问题也可能导致 OCSP 检查失败。毕竟,它实际上需要与 OCSP 端点交谈以查看证书是否已被吊销。您应该运行网络监视器(例如
tcpdump)来查看是否正在建立所需的连接。Glassfish 确实支持 OCSP,但由于我们的环境和我们所做的事情,我们无法使其工作。这里有相当不错的设置说明。我们最终做的是将 Apache 放在 Glassfish 前面,并使用 Tumbleweed Server Validator 来处理 OCSP。
在 Web 上,有通过 Apache 对 Glassfish 进行负载平衡的说明。Apache 使用 Tomcat 连接器与 Glassfish 一起工作。如果您正在运行 Glassfish V2,此处描述的步骤将起作用(这是我们正在运行的)。如果您使用的是 Glassfish v3 Prelude,此处描述的步骤将起作用。在 V3 中,他们让 Glassfish 与 Apache 一起使用变得更容易一些,至少在 Glassfish 方面是这样。
我希望这可以在未来对其他人有所帮助,因为我花了一段时间才让这一切正常工作并找到我需要的信息。