红帽全球峰会174.9. SSL 支持(HTTPS)
使用 JSSE 配置实用程序
自 Camel 2.8 起,Jetty 组件通过 Camel JSSE 配置实用程序 支持 SSL/TLS 配置。这个工具大大减少了您需要写入的组件特定代码数量,并在端点和组件级别进行配置。以下示例演示了如何将 实用程序与 Jetty 组件一起使用。
组件的编程配置
KeyStoreParameters ksp = new KeyStoreParameters();
ksp.setResource("/users/home/server/keystore.jks");
ksp.setPassword("keystorePassword");
KeyManagersParameters kmp = new KeyManagersParameters();
kmp.setKeyStore(ksp);
kmp.setKeyPassword("keyPassword");
SSLContextParameters scp = new SSLContextParameters();
scp.setKeyManagers(kmp);
JettyComponent jettyComponent = getContext().getComponent("jetty", JettyComponent.class);
jettyComponent.setSslContextParameters(scp);基于 Spring DSL 端点配置
...
<camel:sslContextParameters
id="sslContextParameters">
<camel:keyManagers
keyPassword="keyPassword">
<camel:keyStore
resource="/users/home/server/keystore.jks"
password="keystorePassword"/>
</camel:keyManagers>
</camel:sslContextParameters>...
...
<to uri="jetty:https://127.0.0.1/mail/?sslContextParameters=#sslContextParameters"/>
...直接配置 Jetty
jetty 开箱即用提供 SSL 支持。要使 Jetty 以 SSL 模式运行,只需使用 https:// prefix--- 例如格式化 URI:
<from uri="jetty:https://0.0.0.0/myapp/myservice/"/>jetty 还需要知道从中加载密钥存储的位置以及要使用的密码来加载正确的 SSL 证书。设置以下 JVM 系统属性:
until Camel 2.2
-
jetty.ssl.keystore指定 Java 密钥存储文件的位置,该文件在 密钥条目 中包含 Jetty 服务器自己的 X.509 证书。密钥条目存储 X.509 证书(有效,公钥)及其关联的私钥。 -
jetty.ssl.password存储密码,这是访问密钥存储文件(这与密钥存储命令的-storepass选项提供的密码相同)。 -
jetty.ssl.keypassword密钥密码,用于访问密钥存储中的证书密钥条目(这是提供给密钥存储命令的-keypass选项的相同密码)。
从 Camel 2.3 开始
-
org.eclipse.jetty.ssl.keystore指定 Java 密钥存储文件的位置,该文件在 密钥条目 中包含 Jetty 服务器自己的 X.509 证书。密钥条目存储 X.509 证书(有效,公钥)及其关联的私钥。 -
org.eclipse.jetty.ssl.password,存储密码需要访问密钥存储文件(这是提供给密钥存储命令的-storepass选项相同的密码)。 -
org.eclipse.jetty.ssl.keypassword是密钥密码,用于访问密钥存储中证书的密钥条目(这与密钥存储命令的-keypass选项提供的密码相同)。
有关如何在 Jetty 端点上配置 SSL 的详情,请阅读 Jetty Site 中的以下文档: http://docs.codehaus.org/display/JETTY/How+to+configure+SSL
有些 SSL 属性不会直接由 Camel 公开,但 Camel 会公开底层 SslSocketConnector,它允许您设置诸如 needClientAuth 的属性,用于需要客户端证书或 wantClientAuth 用于客户端不需要证书的 mutual 身份验证,但可以有一个。各种 Camel 版本之间存在一些差别:
最多 Camel 2.2
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="sslSocketConnectors">
<map>
<entry key="8043">
<bean class="org.mortbay.jetty.security.SslSocketConnector">
<property name="password"value="..."/>
<property name="keyPassword"value="..."/>
<property name="keystore"value="..."/>
<property name="needClientAuth"value="..."/>
<property name="truststore"value="..."/>
</bean>
</entry>
</map>
</property>
</bean>Camel 2.3, 2.4
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="sslSocketConnectors">
<map>
<entry key="8043">
<bean class="org.eclipse.jetty.server.ssl.SslSocketConnector">
<property name="password"value="..."/>
<property name="keyPassword"value="..."/>
<property name="keystore"value="..."/>
<property name="needClientAuth"value="..."/>
<property name="truststore"value="..."/>
</bean>
</entry>
</map>
</property>
</bean>* 从 Camel 2.5,我们切换到使用 SslSelectChannelConnector *
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="sslSocketConnectors">
<map>
<entry key="8043">
<bean class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<property name="password"value="..."/>
<property name="keyPassword"value="..."/>
<property name="keystore"value="..."/>
<property name="needClientAuth"value="..."/>
<property name="truststore"value="..."/>
</bean>
</entry>
</map>
</property>
</bean>您在上述映射中用作键的值是您将 Jetty 配置为侦听的端口。
174.9.1. 在 IBM Java 上配置带有 TLS 安全性的 camel-jetty9
camel-jetty9 组件中的默认 TLS 安全设置与 IBM Java 虚拟机不兼容。IBM Java 中的所有密码都以 前缀 SSL Passthrough 开头,即使 TLS 协议的密码也以 SSLzFCP 开头。camel-jetty9 仅支持 RFC Cipher Suite 名称,所有 SSLBlock 密码 都不受保护,且被排除。jetty 排除所有 SSL Passthrough 密码,因此没有可用于 TLS 1.2 和连接失败的密码。因为无法更改 Jetty 的 ssl 上下文的行为,所以只有临时解决方案是覆盖 Jetty9 组件中的默认 TLS 安全配置。要达到此目的,请在 Application.java 文件中方法 "sslContextParameters ()" 的末尾添加以下代码。
FilterParameters fp = new FilterParameters();
fp.getInclude().add(".*");
// Exclude weak / insecure ciphers
fp.getExclude().add("^.*_(MD5|SHA|SHA1)$");
// Exclude ciphers that don't support forward secrecy
fp.getExclude().add("^TLS_RSA_.*$");
// The following exclusions are present to cleanup known bad cipher
// suites that may be accidentally included via include patterns.
// The default enabled cipher list in Java will not include these
// (but they are available in the supported list).
/* SSL_ ciphers are not excluded
fp.getExclude().add("^SSL_.*$"); */
fp.getExclude().add("^.NULL.$");
fp.getExclude().add("^.anon.$");
p.setCipherSuitesFilter(fp);
此代码覆盖了 Jetty 中定义的排除密码,方法是删除所有 SSLBlock 密码的 排除。
174.9.2. 配置常规 SSL 属性
从 Camel 2.5 开始提供
现在,您可以配置通用属性,适用于所有 SSL 套接字连接器(而不是上面提到的端口号),而不是每个端口号的特定于端口号的 SSL 套接字连接器。
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="sslSocketConnectorProperties">
<map>
<entry key="password"value="..."/>
<entry key="keyPassword"value="..."/>
<entry key="keystore"value="..."/>
<entry key="needClientAuth"value="..."/>
<entry key="truststore"value="..."/>
</map>
</property>
</bean>174.9.3. 如何获取对 X509Certificate 的引用
jetty 将证书的引用存储在 HttpServletRequest 中,您可以按照以下方式从代码访问:
HttpServletRequest req = exchange.getIn().getBody(HttpServletRequest.class);
X509Certificate cert = (X509Certificate) req.getAttribute("javax.servlet.request.X509Certificate")174.9.4. 配置常规 HTTP 属性
从 Camel 2.5 开始提供
现在,您可以配置通用属性,适用于所有 HTTP 套接字连接器(而不是上面包括的端口号)来明确配置每个端口号的 HTTP 套接字连接器(如上面所示)。
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="socketConnectorProperties">
<map>
<entry key="acceptors" value="4"/>
<entry key="maxIdleTime" value="300000"/>
</map>
</property>
</bean>如果 HTTP 请求由 Apache 服务器处理,并使用 mod_proxy 转发到 jetty,则原始客户端 IP 地址位于 X-Forwarded-For 标头中,HttpServletRequest.getRemoteAddr ()将返回 Apache 代理的地址。
jetty 有一个 forward 属性,它取来自 X-Forwarded-For 的值,并将它放在 HttpServletRequest remoteAddr 属性中。此属性不直接通过端点配置提供,但可以使用 socketConnectors 属性轻松添加:
<bean id="jetty" class="org.apache.camel.component.jetty.JettyHttpComponent">
<property name="socketConnectors">
<map>
<entry key="8080">
<bean class="org.eclipse.jetty.server.nio.SelectChannelConnector">
<property name="forwarded" value="true"/>
</bean>
</entry>
</map>
</property>
</bean>当现有 Apache 服务器为某个域处理 TLS 连接时,这特别有用,并将它们代理到内部的应用服务器。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}