Использование CLIENT-CERT для Tomcat без указания имени пользователя
Я пытаюсь заставить веб-приложение Tomcat использовать аутентификацию сертификата клиента для входящих соединений. Все отлично работает при использовании clientAuth = true в server.xml, однако из-за других приложений, работающих на том же сервере, мы не можем использовать это в производственной среде.
Есть ли способ сформировать документ web.xml таким образом, чтобы он принудительно использовал сертификат клиента для приложения так же, как clientAuth = true? Кажется, что использование параметра CLIENT-CERT также требует настройки учетной записи пользователя tomcat для каждого сертификата, который должен получить доступ к вашей системе? Мы должны иметь возможность разрешить все сертификаты, полученные из указанного центра сертификации (установленного в хранилище доверенных сертификатов сервера), где субъект соответствует определенным правилам (проверено в реальном приложении). Я надеялся, что что-то вроде следующего будет работать, но пока не повезло!
<security-constraint>
<web-resource-collection>
<web-resource-name>Everything</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>