Я могу ограничить доступ SSL к Tomcat Расширенным Ключевым Использованием?
Посмотрите в выводе phpinfo (), чтобы видеть, перечислены ли эти вызовы функции в disable_functions, который препятствует тому, чтобы они были выполнены.
This cannot be done at the SSL layer in tomcat with extendedKeyUsage. mod_ssl (from the APR) only allows you to do this with SSLRequire, but since that is not valid at server scope, it will be ignored. I don't think the non-APR implementation supports this either as I've seen no evidence for it at all.
At best, you can look at the certificate yourself in your servlet (assuming it exposes it to you; I'm not sure how to do that), and check the extension there.
However, what you are trying to do is not typical. The usual way of doing this is to create your own trust root (do not trust the browser trust root or anything) and use that to issue client certificates. They need to be a client certificate (with clientAuth, and if v3, the appropriate EKUs for that), but nothing else must be special. You are reasonable to rely on the DN to identify the user.
Определенный материал Apache, так как я - намного более удобная работа с ним, чем с котом непосредственно-
Использование сертификата не выставляется в списке переменных среды SSL, которые Apache делает доступным по умолчанию. Но похоже, что Вы могли использовать пользовательское SSLRequire как это:
SSLRequire "certUsageSSLClient" in PeerExtList("SECCertUsages")
Я полагаю, что те имена являются правильными, но Вам, возможно, придется копаться в OIDs там, если shortnames не точно, что ожидает Ваша ssl реализация.
http://www.mozilla.org/projects/security/pki/nss/tech-notes/tn3.html