nginx不校验客户端证书tomcat校验

如果使用 Nginx 做前端代理，而 Tomcat 作为 Web 服务器，需要进行双向 SSL 认证，即客户端证书认证和服务器证书认证。如果设置了不校验客户端证书，但 Tomcat 进行了校验，可能是因为以下原因：

1. Nginx 对客户端证书认证的处理不正确。需要使用 Nginx 的 ssl_verify_client 配置项开启客户端证书认证，如果设置为 "off"，即关闭了客户端证书认证，则不会验证客户端证书。需要检查 Nginx 的配置文件，确认该配置项是否被正确地设置。

2. Tomcat 对客户端证书认证的处理与 Nginx 不一致。需要检查 Tomcat 的配置文件，确认证书认证的配置是否正确。可以尝试在 Tomcat 的 server.xml 配置文件中设置 clientAuth 为 "false"，表示不校验客户端证书。

3. 客户端证书与服务器证书不匹配。需要检查客户端证书和服务器证书是否匹配。如果两者不匹配，会导致认证失败。需要确保客户端证书验证的颁发机构和服务器证书的颁发机构相同。

4. 客户端证书认证链中间有问题。可能客户端证书认证链中间有问题，导致无法通过证书认证。可以检查客户端证书的认证链，确保认证链完整且正确。

需要根据具体情况进行排查，进一步确定问题所在，并采取相应的解决方法。

omcat 7对EL表达式的语法要求比较严格，例如”${enum.colname}”因包含关键字enum就会导致解析出错。

下面是解决办法：

改tomcat属性，忽略对EL表达式的关键字检查。修改$CATALINA_BASE/conf/catalina.properties文件，添加org.apache.el.parser.SKIP_IDENTIFIER_CHECK=true选项。

---