Próbuję, aby aplikacja internetowa Tomcat używała uwierzytelniania certyfikatu klienta dla połączeń przychodzących. Wszystko działa dobrze, gdy używamy clientAuth = true w server.xml, jednak z powodu innych aplikacji działających na tym samym serwerze nie możemy tego użyć w środowisku produkcyjnym.

Czy istnieje sposób utworzenia dokumentu web.xml w taki sposób, aby wymusił użycie certyfikatu klienta dla aplikacji w taki sam sposób, jak klientAuth = true? Wygląda na to, że użycie ustawienia KLIENT-CERT wymaga również ustawienia konta użytkownika tomcat dla każdego certyfikatu, który ma uzyskać dostęp do systemu? Musimy mieć możliwość zezwalania na wszystkie certyfikaty pochodzące z określonego urzędu certyfikacji (ustawionego w magazynie zaufanych certyfikatów serwera), w których podmiot odpowiada określonym zasadom (sprawdzanym w ramach rzeczywistej aplikacji). Miałem nadzieję, że zadziała coś podobnego, ale nie mam szczęścia!

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Everything</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>CLIENT-CERT</auth-method>
</login-config>