Comment puis-je utiliser les différents certificats sur des connexions?

Un module que je suis en ajoutant à notre grande application Java a pour converser avec une autre société du SSL site sécurisé. Le problème est que le site utilise un certificat auto-signé. J'ai une copie du certificat pour vérifier que je ne suis pas de la rencontre d'un man-in-the-middle attack, et j'ai besoin d'incorporer ce certificat dans notre code de telle façon que la connexion au serveur sera couronnée de succès.

Voici le code de base:

void sendRequest(String dataPacket) {
  String urlStr = "https://host.example.com/";
  URL url = new URL(urlStr);
  HttpURLConnection conn = (HttpURLConnection)url.openConnection();
  conn.setMethod("POST");
  conn.setRequestProperty("Content-Length", data.length());
  conn.setDoOutput(true);
  OutputStreamWriter o = new OutputStreamWriter(conn.getOutputStream());
  o.write(data);
  o.flush();
}

Sans aucune manipulation supplémentaire mis en place pour le certificat auto-signé, ce meurt à l'âge de conn.getOutputStream() avec l'exception suivante:

Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
....
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
....
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Idéalement, mon code doit enseigner Java à accepter cette un certificat auto-signé, pour cette une tache dans l'application, et nulle part ailleurs.

Je sais que je peux importer le certificat dans la JRE de l'autorité de certification magasin, et qui va permettre à Java à l'accepter. Ce n'est pas une approche que je veux prendre si je peux aider; il semble très invasive à faire sur l'ensemble des machines de nos clients pour un module, ils ne peuvent pas utiliser; il aurait une incidence sur toutes les autres applications Java à l'aide de la même JRE, et je n'aime pas que même si les chances de toute autre application Java jamais accès à ce site est nul. Il n'est également pas une opération triviale: sur UNIX, je dois obtenir des droits d'accès pour modifier le JRE de cette façon.

J'ai aussi vu que je peux créer un TrustManager instance qui n'a coutume de les vérifier. Il semble que je pourrais peut-être même créer un TrustManager que les délégués à la vraie TrustManager dans tous les cas, à l'exception de ce seul certificat. Mais il semble que ce TrustManager est installé à l'échelle mondiale, et je présume aurait une incidence sur toutes les autres connexions à partir de notre application, et qui ne sent pas assez bonne pour moi, soit.

Quel est le meilleur, standard, ou le meilleur moyen de mettre en place une application Java pour accepter un certificat auto-signé? Puis-je accomplir tous les objectifs que j'ai à l'esprit ci-dessus, ou vais-je avoir à faire des compromis? Est-il une option impliquant les fichiers et les répertoires et les paramètres de configuration, et peu-à-peu de code?

  • petit, de travail correctif: rgagnon.com/javadetails/...
  • s'il vous plaît ne pas suggérer cette page. Il désactive la vérification de confiance. Vous allez non seulement accepter le certificat auto-signé que vous voulez, vous êtes aussi à accepter un certificat d'un MITM attaquant va vous présenter avec.
InformationsquelleAutor skiphoppy | 2009-05-13
  1. 157

    Créer un SSLSocket usine vous-même, et de le mettre sur le HttpsURLConnection avant de les connecter.

    ...
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslFactory);
conn.setMethod("POST");
...

    Vous aurez envie de créer un SSLSocketFactory et le garder. Voici un croquis de comment l'initialiser:

    /* Load the keyStore that includes self-signed cert as a "trusted" entry. */
KeyStore keyStore = ... 
TrustManagerFactory tmf = 
  TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(null, tmf.getTrustManagers(), null);
sslFactory = ctx.getSocketFactory();

    Si vous avez besoin d'aide pour créer la clé de stockage, s'il vous plaît commentaire.

    Voici un exemple de chargement de la clé de stockage:

    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(trustStore, trustStorePassword);
trustStore.close();

    Pour créer le magasin de clés avec un format PEM certificat, vous pouvez écrire votre propre code à l'aide de CertificateFactory, ou tout simplement importer avec keytool à partir du JDK (keytool ne de travail pour une "clé d'entrée", mais est parfait pour une "entrée de confiance").

    keytool -import -file selfsigned.pem -alias server -keystore server.jks
    • Merci beaucoup! Les autres gars ont aidé à me diriger dans la bonne direction, mais à la fin, le vôtre est l'approche que j'ai adoptée. J'ai eu une épuisante tâche de conversion du PEM fichier de certificat à un JKS Java fichier de magasin de clés, et j'ai trouvé de l'aide pour que ici: stackoverflow.com/questions/722931/...
    • Je suis content que ça fonctionne. Je suis désolé que vous avez eu du mal avec la clé de stockage; j'aurais juste inclus dans ma réponse. Il n'est pas trop difficile avec CertificateFactory. En fait, je pense que je vais faire une mise à jour pour ceux qui viennent plus tard.
    • Wow. Des moyens de conversion de PEM JKS est beaucoup plus simple que ce que j'ai fait! Merci! 🙂
    • Tout ce code n'est de reproduire ce que vous pouvez accomplir en définissant trois propriétés du système décrit dans la JSSE Refernence Guide.
    • C'était il y a longtemps, donc je ne me souviens pas pour vous, mais je devine la raison en est que dans une "grande application Java", il y a probablement d'autres connexions HTTP établi. Réglage des propriétés à l'échelle mondiale pourrait interférer avec le travail des connexions, ou de permettre à cette seule partie de charrier des serveurs. Ceci est un exemple de l'utilisation du haut-trust manager au cas par cas.
    • Comme l'OP a dit, "mon code doit enseigner Java à accepter cette un certificat auto-signé, pour cette une tache dans l'application, et nulle part ailleurs."
    • J'ai essayé de mettre en œuvre votre solution en vain merci de m'aider stackoverflow.com/questions/20190364/...
    • Si vous vouliez être accepté "à l'échelle mondiale" utiliser l'utilitaire keytool pour installer le certificat de confiance cert dans le fichier cacerts. Ensuite, il sera approuvé pour tout VM démarrée qui utilise ce JRE.
    • Ce n'est pas une bonne approche de l'acceptation mondiale.
    • C'est pourquoi j'ai mis "global" entre guillemets, et explique comment elle fonctionne réellement. Personne n'a mentionné le faire de cette façon, même si c'est un très commun et une méthode acceptée.
    • De nombreuses grandes organisations n'acceptent pas cette méthode. Ce serait une violation de la sécurité, avec de graves conséquences.
    • Hi - il est quatre ans plus tard, et l'approche que tu nous as appris a été chantonner tout en douceur et a été en usage pendant plusieurs serveurs différents, nous communiquer avec. Maintenant j'ai un nouveau truc, j'ai besoin de comprendre (peut faire une nouvelle StackOverflow question pour elle): j'aimerais faire confiance à la fois le défaut de stockage des clés et de la coutume de magasin de clés avec le serveur de certificat auto-signé. Nous avons eu un cas où le serveur mis à niveau vers un vrai certificat et la connexion s'est cassé, mais il aurait été bien si nous avons été de faire confiance à la valeur par défaut du fichier de clés.
    • L'API est un peu trompeur: il implique que vous pouvez passer un tableau de TrustManagers à SSLContext.init(), mais la javadoc de cette méthode indique que seule la première TrustManager dans le tableau est utilisé. J'aimerais entendre des idées que vous pouvez partager.
    • Je vais avoir à expérimenter un peu avec ça et de revenir à vous. Je ne l'ai pas fait avant, mais j'ai une idée qui pourrait fonctionner.
    • Hmm, le seul moyen que j'ai trouvé est de créer un temporaire KeyStore (en mémoire) et ajouter la racine de certificats de l'ensemble de vos "vrais" magasins de clés à qui, ou (presque équivalent) créer un Set<TrustAnchor> à partir de toutes les entrées de votre confiance magasins de clés et de les utiliser pour initialiser PKIXParameters, et avec qui, à son tour, le TrustManagerFactory.
    • Merci @erickson, je suis toujours en train de jouer avec elle et je suis errant à travers un long labyrinthe de la documentation. Je vais donner un coup de cette.

    InformationsquelleAutor erickson
  2. 14

    J'ai lu BEAUCOUP d'endroits en ligne pour résoudre cette chose.
    C'est le code que j'ai écrit pour le faire fonctionner:

                    ByteArrayInputStream derInputStream = new ByteArrayInputStream(app.certificateString.getBytes());
                CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
                X509Certificate cert = (X509Certificate) certificateFactory.generateCertificate(derInputStream);
                String alias = "alias";//cert.getSubjectX500Principal().getName();

                KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
                trustStore.load(null);
                trustStore.setCertificateEntry(alias, cert);
                KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
                kmf.init(trustStore, null);
                KeyManager[] keyManagers = kmf.getKeyManagers();

                TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
                tmf.init(trustStore);
                TrustManager[] trustManagers = tmf.getTrustManagers();

                SSLContext sslContext = SSLContext.getInstance("TLS");
                sslContext.init(keyManagers, trustManagers, null);
                URL url = new URL(someURL);
                conn = (HttpsURLConnection) url.openConnection();
                conn.setSSLSocketFactory(sslContext.getSocketFactory());

    app.certificateString est une Chaîne qui contient le Certificat, par exemple:

                static public String certificateString=
            "-----BEGIN CERTIFICATE-----\n" +
            "MIIGQTCCBSmgAwIBAgIHBcg1dAivUzANBgkqhkiG9w0BAQsFADCBjDELMAkGA1UE" +
            "BhMCSUwxFjAUBgNVBAoTDVN0YXJ0Q29tIEx0ZC4xKzApBgNVBAsTIlNlY3VyZSBE" +
            ... a bunch of characters...
            "5126sfeEJMRV4Fl2E5W1gDHoOd6V==\n" +
            "-----END CERTIFICATE-----";

    J'ai testé ce que vous pouvez mettre tous les caractères dans le certificat de chaîne, si elle est auto-signé, aussi longtemps que vous gardez la structure exacte ci-dessus. J'ai obtenu le certificat de chaîne avec mon ordinateur portable, Terminal de la ligne de commande.

    InformationsquelleAutor Josh
  3. 13

    Si la création d'un SSLSocketFactory n'est pas une option, il suffit d'importer la clé dans la JVM

    1. Récupérer la clé publique:
      $openssl s_client -connect dev-server:443, puis créer un fichier dev-serveur.pem qui ressemble à

      -----BEGIN CERTIFICATE----- 
lklkkkllklklklklllkllklkl
lklkkkllklklklklllkllklkl
lklkkkllklk....
-----END CERTIFICATE-----

    2. Importer la clé: #keytool -import -alias dev-server -keystore $JAVA_HOME/jre/lib/security/cacerts -file dev-server.pem.
      Mot de passe: changeit

    3. Redémarrer JVM

    Source: Comment résoudre javax.net.le protocole ssl.SSLHandshakeException?

    • Je ne pense pas que cela résout la question d'origine, mais il a résolu mon problème, donc merci!
    • Il n'est également pas une bonne idée pour ce faire: maintenant, vous avez ce aléatoires extra large système de certificat auto-signé qui tous Java processus de confiance par défaut.
    InformationsquelleAutor user454322
  4. 12

    Nous copier le JRE truststore et ajouter nos certificats personnalisés pour que truststore, puis de dire à l'application d'utiliser la coutume truststore avec un système de la propriété. De cette façon, nous laissez la valeur par défaut JRE truststore seul.

    L'inconvénient est que lorsque vous mettez à jour le JRE vous n'obtenez pas de son nouveau truststore automatiquement fusionnées avec votre propre.

    Vous pourriez peut-être gérer ce scénario en ayant un programme d'installation ou le démarrage de la routine qui vérifie le truststore/jdk et vérifie une incompatibilité ou automatiquement les mises à jour de la truststore. Je ne sais pas ce qui se passe si vous mettez à jour le truststore alors que l'application est en cours d'exécution.

    Cette solution n'est pas 100% élégant ou infaillible, mais il est simple, il fonctionne, et ne nécessite pas de code.

    InformationsquelleAutor Mr. Shiny and New 安宇
  5. 12

    J'ai dû faire quelque chose comme cela lors de l'utilisation de commons-httpclient pour accéder à l'interne un serveur https avec un certificat auto-signé. Oui, notre solution a été de créer un personnalisé TrustManager que simplement passé tout (de l'enregistrement d'un message de débogage).

    Cela revient à avoir notre propre SSLSocketFactory qui crée des sockets SSL de notre local SSLContext, qui est seulement à nos locaux TrustManager associés. Vous n'avez pas besoin d'aller près d'un keystore/certstore à tous.

    Donc, c'est dans notre LocalSSLSocketFactory:

    static {
    try {
        SSL_CONTEXT = SSLContext.getInstance("SSL");
        SSL_CONTEXT.init(null, new TrustManager[] { new LocalSSLTrustManager() }, null);
    } catch (NoSuchAlgorithmException e) {
        throw new RuntimeException("Unable to initialise SSL context", e);
    } catch (KeyManagementException e) {
        throw new RuntimeException("Unable to initialise SSL context", e);
    }
}

public Socket createSocket(String host, int port) throws IOException, UnknownHostException {
    LOG.trace("createSocket(host => {}, port => {})", new Object[] { host, new Integer(port) });

    return SSL_CONTEXT.getSocketFactory().createSocket(host, port);
}

    Le long de avec d'autres méthodes de mise en œuvre de SecureProtocolSocketFactory. LocalSSLTrustManager est celle-ci mannequin de fiducie, le gestionnaire de mise en œuvre.

    • Si vous désactivez tous vérification de confiance, il y a peu de point à l'aide de SSL/TLS dans la première place. C'est OK pour tester en local, mais pas si vous souhaitez vous connecter à l'extérieur.
    • Je reçois cette exception lors de l'exécution sur Java 7. javax.net.le protocole ssl.SSLHandshakeException: pas de suites de chiffrement en commun Peut vous aider?
    InformationsquelleAutor araqnid