Configurer Netty avec le 2-way SSL Handsake (client et serveur de certificat)

Je suis maintenant essayer de mettre en place Netty avec un 2 way handshake SSL, où à la fois le client et le serveur de présenter et de vérifier les certificats.

Cela ne semble pas être mis en œuvre dans SslHandler. Quelqu'un a fait cela? Je suppose que ce serait aller dans le SslHandler.fonctionnement de l'échange et être déléguée à javax.net.le protocole ssl.SSLEngine?

Tous les conseils/conseils/pré-implémentations existantes?

Merci!

RÉPONSE (stackoverflow ne me permet pas de poster de façon normale), j'ai trouvé que si je mets le needClientAuth drapeau sur la SSLEngine objet avant de configurer mon SslHandler, qui prend soin de le problème!

OriginalL'auteur MeowCode | 2012-03-05

  1. 11

    Voici la solution, basée sur la HttpSnoop exemple de serveur à partir de la netty projet.

    Lors de la configuration côté client pipeline, la ssl du moteur doit être réglée comme suit:

    public ChannelPipeline getPipeline() throws Exception {
    //Create a default pipeline implementation.
    ChannelPipeline pipeline = pipeline();

    //Uncomment the following line if you want HTTPS
    SSLEngine engine = SecureChatSslContextFactory.getServerContext().createSSLEngine();
    engine.setUseClientMode(false);
    engine.setNeedClientAuth(true);
    pipeline.addLast("ssl", new SslHandler(engine));

    pipeline.addLast("decoder", new HttpRequestDecoder());
    pipeline.addLast("logger", new RequestAuditLogger());
    //Uncomment the following line if you don't want to handle HttpChunks.
    pipeline.addLast("aggregator", new HttpChunkAggregator(1048576));
    pipeline.addLast("outputLogger", new ResponseAuditLogger());
    pipeline.addLast("encoder", new HttpResponseEncoder());
    //Remove the following line if you don't want automatic content compression.
    pipeline.addLast("deflater", new HttpContentCompressor());
    pipeline.addLast("handler", new HttpSnoopServerHandler());
    return pipeline;
}
}

    Alors votre SSLContext doit être modifié comme suit pour configurer un magasin de confiance en plus d'un fichier de clés (SecureChatSslContextFactory):

    public final class SecureChatSslContextFactory {


private static Logger logger = LoggerFactory.getLogger(SecureChatSslContextFactory.class);

private static final String PROTOCOL = "TLS";
private static final SSLContext SERVER_CONTEXT;
private static final SSLContext CLIENT_CONTEXT;

static {

    SSLContext serverContext = null;
    SSLContext clientContext = null;

        //get keystore and trustore locations and passwords
    String keyStoreLocation = System.getProperty("javax.net.ssl.keyStore");
    String keyStorePassword = System.getProperty("javax.net.ssl.keyStorePassword");
    String trustStoreLocation = System.getProperty("javax.net.ssl.trustStore");
    String trustStorePassword = System.getProperty("javax.net.ssl.trustStorePassword");
    try {

        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(KeyStoreStreamManager.asInputStream(keyStoreLocation),
                keyStorePassword.toCharArray());

        //Set up key manager factory to use our key store
        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, keyStorePassword.toCharArray());

          //truststore
        KeyStore ts = KeyStore.getInstance("JKS");
        ts.load(KeyStoreStreamManager.asInputStream(trustStoreLocation),
                trustStorePassword.toCharArray());

        //set up trust manager factory to use our trust store
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ts);

        //Initialize the SSLContext to work with our key managers.
        serverContext = SSLContext.getInstance(PROTOCOL);
        serverContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

    } catch (Exception e) {
        throw new Error(
                "Failed to initialize the server-side SSLContext", e);
    }

    try {
        clientContext = SSLContext.getInstance(PROTOCOL);
        clientContext.init(null, SecureChatTrustManagerFactory.getTrustManagers(), null);
    } catch (Exception e) {
        throw new Error(
                "Failed to initialize the client-side SSLContext", e);
    }

    SERVER_CONTEXT = serverContext;
    CLIENT_CONTEXT = clientContext;
}

public static SSLContext getServerContext() {
    return SERVER_CONTEXT;
}

public static SSLContext getClientContext() {
    return CLIENT_CONTEXT;
}

private SecureChatSslContextFactory() {
    //Unused
}
}
    Toute sorte de certificat est acceptable qui est pris en charge par le javax.net.le protocole ssl.keyStoreType de la propriété. docs.oracle.com/cd/B19306_01/java.102/b14355/...

    OriginalL'auteur MeowCode

  2. 6

    Au lieu de SSLEngine utilisation nettys SslContext pour créer un nouveau SslHandler. Fondamentalement, vous pouvez créer de nouveaux SslContext en passant KeyManagerFactory comme suit

    SslContext sslContext = SslContextBuilder.forServer(keyManagerFactory).build();

    Puis utilisez créé SslContext pour obtenir le gestionnaire de ChannelPipeline.

    ChannelPipeline.addLast("ssl", sslContext.newHandler(socketChannel.alloc()));

    OriginalL'auteur Isuru

  3. 4

    L'authentification mutuelle est désormais pris en charge par SslContext (actuellement juste pour le JDK fournisseur, mais OpenSSL est à venir bientôt). Voir newClientContext et newServerContext qui maintenant prise en charge d'un TrustManagerFactory et un KeyManagerFactory. Ces statique méthodes de fabrique également en charge directement la prise de certificat, la clé et le certificat de la chaîne de fichiers pour la construction de la TrustManagerFactory et KeyManagerFactory pour vous.

    Voir le JdkSslEngineTest pour un exemple de comment exiger l'authentification du client (pour le JDK fournisseur).

    OpenSSL moteur prend désormais en charge l'authentification mutuelle. OpenSSL moteur a essentiellement fonction de la parité avec le JDK SSL du moteur. Voir SSLEngineTest et si il manque des fonctionnalités, veuillez fichier un problème.

    OriginalL'auteur Scott Mitchell