Glassfish e OCSP

1

Atualmente, temos o Glassfish configurado para trabalhar com CRL. Temos um script em lote que é executado todas as noites, faz o download da última CRL e atualiza a nossa lista. Ultimamente temos tido problemas com o download que não está funcionando e, portanto, causando problemas para nossos usuários acessarem nosso aplicativo.

Estamos procurando mudar para o OCSP, já que ele não nos obriga a baixar nada e processá-lo. Eu nunca usei o OCSP ou configurei muito mais um servidor de aplicativos para usar o OCSP. Eu pesquisei informações / tutoriais sobre como configurar isso e descobri de mãos vazias e nem consegui verificar se o Glassfish é compatível com o OCSP.

Alguém sabe se o Glassfish suporta o OCSP? Se isso acontecer, você pode me apontar na direção certa ao configurar isso em Glassfish?

    
por Jacob Schoen 01.05.2009 / 14:16

2 respostas

0

A Glassfish oferece suporte ao OCSP, mas com nosso ambiente e com o que estávamos fazendo, não conseguimos fazê-lo funcionar. Existem instruções bastante decentes sobre como configurar isso aqui . O que acabamos fazendo foi liderar o Glassfish com o Apache e usar o Tumbleweed Server Validator para lidar com o OCSP.

Na web, há instruções para balancear a carga do Glassfish ao usar o Apache. O Apache usa o conector do Tomcat para trabalhar com o Glassfish. Se você estiver executando o Glassfish V2, as etapas descritas aqui funcionarão (isso é o que nós estamos correndo). Se você estiver usando o Glassfish v3 Prelude, as etapas descritas aqui funcionarão. Em V3 eles tornaram um pouco mais fácil enfrentar o Glassfish com o Apache, pelo menos no lado do Glassfish.

Espero que isso ajude alguém no futuro, pois demorei um pouco para que tudo isso funcionasse e encontrei as informações de que precisava.

    
por 22.06.2009 / 14:41
1

Não comentando sobre o Glassfish especificamente, mas no OpenJDK 6, há suporte embutido para o OCSP no pacote sun.security.provider.certpath , então isso deve (esperançosamente) filtrar seu caminho para o seu fluxo de trabalho em algum lugar.

Mas, ao dizer isso, se os downloads não funcionaram, esse mesmo problema pode fazer com que a verificação do OCSP falhe também. Afinal, na verdade, é necessário conversar com o endpoint do OCSP para ver se o certificado foi revogado. Você deve executar um monitor de rede (por exemplo, tcpdump ) para ver se as conexões necessárias estão sendo feitas.

    
por 01.05.2009 / 15:40