Java: Chargement du fichier de clés SSL via une ressource

Si j'ai:

System.setProperty("javax.net.ssl.keyStore", '/etc/certificates/fdms/WS1001237590._.1.ks');
System.setProperty("javax.net.ssl.keyStorePassword", 'DV8u4xRVDq');
System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");

Je suis capable d'ouvrir une connexion sécurisée sans problème.

Cependant, j'aimerais avoir les certificats stockés directement dans la guerre, donc j'utilise: (Le fichier de flux d'entrée deviendra par la suite un flux de ressources, mais je vais le faire pour l'obtenir pour fonctionner.)

System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");
KeyStore ks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream("/etc/certificates/fdms/WS1001237590._.1.ks"), "DV8u4xRVDq".toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ks, "DV8u4xRVDq".toCharArray());
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(kmf.getKeyManagers(), null, null);

Maintenant, si j'ouvre la même connexion, j'obtiens: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

De quoi êtes-vous, puis de le faire avec le SSLContext instance sc? Êtes-vous l'utiliser pour créer un SocketFactory et en le définissant dans l'objet d'effectuer les connexions?
Je ne vais pas faire quelque chose avec elle. Je suis à l'aide d'un Axe pour ensuite se connecter au service web.
N'oubliez pas de fermer la FileInputStream, des exemples de code dans la javadoc de fichier de clés explicitement la ferme.

OriginalL'auteur Reverend Gonzo | 2010-07-14

  1. 9

    J'ai dû faire quelque chose de similaire a tout à l'arrière. J'ai eu un fichier de certificat et j'ai dû trouver un moyen de le charger et l'utiliser pour une connexion SSL. Espérons que ce que j'ai fait va vous aider.

    D'abord, j'ai dû créer un trust manager:

    public class MyX509TrustManager implements X509TrustManager {

    X509TrustManager pkixTrustManager;

    MyX509TrustManager() throws Exception {

        String certFile = "/certificates/MyCertFile.cer";

        Certificate myCert = CertificateFactory.getInstance("X509").generateCertificate(this.getClass().getResourceAsStream(valicertFile));

        KeyStore keyStore = KeyStore.getInstance("JKS");
        keyStore.load(null, "".toCharArray());
        keyStore.setCertificateEntry("myCert", myCert);

        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("PKIX");
        trustManagerFactory.init(keyStore);

        TrustManager trustManagers[] = trustManagerFactory.getTrustManagers();

        for(TrustManager trustManager : trustManagers) {
            if(trustManager instanceof X509TrustManager) {
                pkixTrustManager = (X509TrustManager) trustManager;
                return;
            }
        }

        throw new Exception("Couldn't initialize");
    }

    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        pkixTrustManager.checkServerTrusted(chain, authType);
    }

    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        pkixTrustManager.checkServerTrusted(chain, authType);
    }

    public X509Certificate[] getAcceptedIssuers() {
        return pkixTrustManager.getAcceptedIssuers();
    }
}

    Après que j'ai eu à créer un socket usine qui a utilisé ma confiance manager:

    public class MySSLProtocolSocketFactory implements SecureProtocolSocketFactory {
private SSLContext sslContext = null;
public MySSLProtocolSocketFactory() {
super();
}
private static SSLContext createMySSLContext() {
try {
MyX509TrustManager myX509TrustManager = new MyX509TrustManager();
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, new MyX509TrustManager[] { myX509TrustManager}, null);
return context;
}
catch(Exception e) {
Log.error(Log.Context.Net, e);
return null;
}
}
private SSLContext getSSLContext() {
if(this.sslContext == null) {
this.sslContext = createMySSLContext();
}
return this.sslContext;
}
public Socket createSocket(String host, int port, InetAddress clientHost, int clientPort) throws IOException {
return getSSLContext().getSocketFactory().createSocket(host, port, clientHost, clientPort);
}
public Socket createSocket(final String host, final int port, final InetAddress localAddress, final int localPort, final HttpConnectionParams params) throws IOException {
if(params == null) {
throw new IllegalArgumentException("Parameters may not be null");
}
int timeout = params.getConnectionTimeout();
SocketFactory socketFactory = getSSLContext().getSocketFactory();
if(timeout == 0) {
return socketFactory.createSocket(host, port, localAddress, localPort);
}
else {
Socket socket = socketFactory.createSocket();
SocketAddress localAddr = new InetSocketAddress(localAddress, localPort);
SocketAddress remoteAddr = new InetSocketAddress(host, port);
socket.bind(localAddr);
socket.connect(remoteAddr, timeout);
return socket;
}
}
public Socket createSocket(String host, int port) throws IOException {
return getSSLContext().getSocketFactory().createSocket(host, port);
}
public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException {
return getSSLContext().getSocketFactory().createSocket(socket, host, port, autoClose);
}
public boolean equals(Object obj) {
return ((obj != null) && obj.getClass().equals(MySSLProtocolSocketFactory.class));
}
public int hashCode() {
return MySSLProtocolSocketFactory.class.hashCode();
}
}

    Ensuite, j'ai utilisé de cette prise en usine pour envoyer mon POST:

    Protocol.registerProtocol("myhttps", new Protocol("myhttps", new MySSLProtocolSocketFactory(), 443));
PostMethod postMethod = new PostMethod("myhttps://some.url.here");
HttpClient client = new HttpClient();
int status = client.executeMethod(postMethod);

    La seule chose que je ne pouvais pas comprendre comment il suffit d'ajouter le fichier de certificat à l'ordinaire de magasin de clés. Tous les exemples de code source, j'ai trouvé lors de mes recherches, a souligné la création d'un socket facteur, puis l'enregistrement d'un protocole avec ce socket usine. Il est peut-être une façon d'utiliser le socket usine à établir une connexion sans enregistrement d'un protocole; je n'ai pas étudier à fond. Dans mon cas en particulier, la création d'un protocole spécifique a été nécessaire. J'espère que cela va obtenir votre plus loin le long de la voie. J'avoue que cela semble un peu rond-point; j'ai ressenti la même chose quand je l'ai fait au départ. Mais c'était la seule façon que je l'ai eu à travailler. Peut-être que d'autres personnes ont une meilleure solution.

    OriginalL'auteur Vivin Paliath

  2. 4

    Dans un souci de postérité, tout cela était bien trop compliqué, et nous avons assez bien juste eu un chèque d'un bloc statique:

    if( environment == 'production') {
System.setProperty("javax.net.ssl.keyStore",                    '/etc/certificates/prod/keystore.ks');
System.setProperty("javax.net.ssl.keyStorePassword",            'password');
System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");
} else {
System.setProperty("javax.net.ssl.keyStore",                    '/etc/certificates/test/keystore.ks');
System.setProperty("javax.net.ssl.keyStorePassword",            'password');
System.setProperty("sun.security.ssl.allowUnsafeRenegotiation", "true");
}
    Je suis face à des problèmes similaires et après avoir défini les propriétés-je obtenir : Causée par: le soleil.de sécurité.programme de validation.ValidatorException: PKIX chemin d'accès du bâtiment a échoué: le soleil.de sécurité.fournisseur de.certpath.SunCertPathBuilderException: impossible de trouver le chemin de certification valide à la demande de la cible au soleil.de sécurité.programme de validation.PKIXValidator.doBuild(PKIXValidator.java:323) au soleil.de sécurité.programme de validation.PKIXValidator.engineValidate(PKIXValidator.java:217) des idées ?
    "si( environnement == 'production') {... Système.setProperty("sun.de sécurité.le protocole ssl.allowUnsafeRenegotiation", "true"); " - I vraiment j'espère que c'est une faute de frappe :-/.

    OriginalL'auteur Reverend Gonzo

  3. 3

    Avec l'Axe, je pense que vous devez configurer son SSLSocketFactory via:

    AxisProperties.setProperty("axis.socketSecureFactory",
"com.example.MySSLSocketFactory");

    com.example.MySSLSocketFactory est votre classe qui implémente org.apache.axis.components.net.SecureSocketFactory (vous pouvez étendre org.apache.axis.components.net.JSSESocketFactory peut-être).

    Dans le create méthode, créer un socket à l'aide de la douille de l'usine obtenu à partir de la SSLContext vous avez configuré.

    La seule ligne de code que vous avez donné résout le problème, puis c'est au développeur de mettre en œuvre une coutume SecureSocketFactory.

    OriginalL'auteur Bruno

  4. 1

    Si vous le souhaitez, voici une API pour créer SSLSocket et SSLServerSocket facilement:

    https://github.com/gpotter2/SSLKeystoreFactories

    Il ne nécessite pas d'autres pots.... juste obtenir les fichiers et de les utiliser comme:

    SSLSocket s = SSLSocketKeystoreFactory.getSocketWithCert(ip, port, 
Main.class.getResourceAsStream("/mykey.jks"), "password")

    Ou:

    SSLServerSocket s = SSLServerSocketKeystoreFactory.getSocketWithCert(port, 
Main.class.getResourceAsStream("/mykey.jks"), "password")

    C'est beaucoup plus facile à utiliser 🙂

    OriginalL'auteur mike345