Я пытаюсь заставить веб-приложение Tomcat использовать аутентификацию сертификата клиента для входящих соединений. Все отлично работает при использовании clientAuth = true в server.xml, однако из-за других приложений, работающих на том же сервере, мы не можем использовать это в производственной среде.

Есть ли способ сформировать документ web.xml таким образом, чтобы он принудительно использовал сертификат клиента для приложения так же, как clientAuth = true? Кажется, что использование параметра CLIENT-CERT также требует настройки учетной записи пользователя tomcat для каждого сертификата, который должен получить доступ к вашей системе? Мы должны иметь возможность разрешить все сертификаты, полученные из указанного центра сертификации (установленного в хранилище доверенных сертификатов сервера), где субъект соответствует определенным правилам (проверено в реальном приложении). Я надеялся, что что-то вроде следующего будет работать, но пока не повезло!

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Everything</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
</login-config>