Se connecter à un site en https avec un certificat p12

Le côté serveur m'a donné un .p12 fichier de certificat que j'ai cliqué et installé sur ma machine et ensuite, je peux accéder à la HTTPS site via le navigateur. Maintenant, ils veulent me faire analyser leur site avec le certificat donné. Je suis bloqué à la première étape de celle-ci, en essayant d'obtenir le inputStream de la httpsURLConnection. Le site n'a pas de connexion. Il vérifie seulement si vous avez le certificat ou pas.

Ce que j'ai fait jusqu'à présent était d'utiliser Firefox pour exporter le certificat dans un .crt format de fichier. Ensuite, j'ai utilisé la commande keytool pour l'importer (le .crt fichier, pas le .p12) en java fichier de clés. Puis dans le code:

KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
File ksFile = new File(keystorePath);
in = new FileInputStream(ksFile);
ks.load(in, "changeit".toCharArray());
X509Certificate cert = (X509Certificate) ks.getCertificate(certificateAlias);

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

HttpsURLConnection con = (HttpsURLConnection) (new URL(urlString)).openConnection();
con.connect();
con.getInputStream();
con.disconnect();

La getInputStream() me donnera l'erreur 403 accès interdit. J'ai cherché à travers d'autres sujets connexes et sont en réalité profondément encore plus confus qu'avant de les lire. Serions reconnaissants de réponses.

Détails Supplémentaires:

  • Je viens juste de instancié le certificat, et n'ont pas de laisser le programme sait toute sorte de clés (privée, publique, etc.). Donc, ce que je crois que je dois présenter à ces touches pour le serveur, de le laisser savoir que je suis effectivement le certificat. Je n'ai absolument aucune idée de comment faire cela, à la fois la logique et la syntaxe sage.
  • J'ai essayé la commande keytool pour importer le .p12 cert fichier dans le fichier de clés, mais en quelque sorte, l'-pkcs12 option n'est pas reconnu par l'utilitaire keytool. Aucune idée sur la façon d'utiliser directement cette .p12 cert serait très bien aussi.
  • trustAllCert est un élément de tableau de TrustMangers qui ne permet pas de valider quoi que ce soit (faire confiance à tous). Je ne sais pas si je dois continuer à l'utiliser. En fait, maintenant, j'ai effectivement un seul cert à la confiance. Quelle est la bonne façon d'écrire un trustManger dans ce cas?
  • Je n'ai pas de contrôle sur le côté serveur. Tous on m'a donné sont l'URL pour accéder à leur site, qui est sous protocole HTTPS, et un .certificat p12. Le site n'a pas de connexion. Si le certificat est installé, je peux y aller.
InformationsquelleAutor Namela | 2011-08-09
  1. 31

    Si vous voulez tenter de code la configuration SSL, vous pouvez utiliser le fichier P12 donné pour vous, sans avoir à le convertir en un JKS. Aussi, vous aurez besoin d'utiliser la clé privée dans le P12, et pas seulement les certificats que vous avez copié dans le JKS. Vous ne savez pas si cela va répondre à vos besoins directement, mais cela peut vous mettre sur le droit chemin:

            KeyStore clientStore = KeyStore.getInstance("PKCS12");
        clientStore.load(new FileInputStream("test.p12"), "testPass".toCharArray());

        KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(clientStore, "testPass".toCharArray());
        KeyManager[] kms = kmf.getKeyManagers();

        KeyStore trustStore = KeyStore.getInstance("JKS");
        trustStore.load(new FileInputStream("cacerts"), "changeit".toCharArray());

        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(trustStore);
        TrustManager[] tms = tmf.getTrustManagers();

        SSLContext sslContext = null;
        sslContext = SSLContext.getInstance("TLS");
        sslContext.init(kms, tms, new SecureRandom());

        HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
        URL url = new URL("https://www.testurl.com");

        HttpsURLConnection urlConn = (HttpsURLConnection) url.openConnection();

    De la configuration de la trustStore cette façon est facultatif. Vous pouvez créer un JKS avec tous les certificats de la chaîne de votre P12, ou assurez-vous qu'ils sont dans votre JRE fichier cacerts. Comme pour keytool, pour référence, vous pouvez exécuter l'utilitaire keytool commandes sur P12 (précisez-storetype pkcs12), mais impossible d'importer un P12 dans un JKS. Vous ne pouvez pas exporter simplement une clé à partir d'un P12 avec la commande keytool.

    Je n'ai pas de serveurs d'installation au moment de tester ce code, afin de lui donner un coup et de voir si vous recevez toujours l'erreur 403.

    • Bonjour. Merci beaucoup. Ce régler le problème parfaitement pour moi. Donc, il y a tout cela, c'est que j'ai raté les principaux gestionnaires de la partie?
    • Je suis assez nouveau à ce sujet et de ne pas comprendre la partie de la JKS de magasin de clés. J'ai aussi juste un Fichier p12 mais je ne sais pas comment je peux obtenir le Fichier JKS. Toute aide serait super.
    • Dans mon cas, j'avais besoin d' sslContext = SSLContext.getInstance("SSL"); à la place.
    • Cette réponse a résolu mes problèmes, trop. Merci beaucoup, @bobz32!
    InformationsquelleAutor bobz32
  2. 4

    Ajouter cela comme une réponse que j'ai besoin de plus d'espace pour écrire.

    Tout d'abord, une question: Est ce que le certificat signé par une autorité de confiance telle que Verisign? Si elle ne l'est pas, le truststore devrait avoir le Certificat d'autorité de certification (généralement une .fichier pem) qui fait le p12 cert "valides". La valeur par défaut de java magasin de confiance contient la plupart (si pas tous) des certificats d'autorité de certification de la grandes entreprises, comme Verisign et Thawte.

    Aussi, vous pouvez tester votre application pour se connecter au serveur sécurisé sans codage SSL configuration, mais avec des paramètres de ligne de commande, par exemple:

    java -Djavax.net.ssl.keyStore=[path_to_p12_cert] \
 -Djavax.net.ssl.keyStorePassword=[p12_password] \
 -Djavax.net.ssl.keyStoreType=PKCS12 \
 -Djavax.net.ssl.trustStore=[path_to_trust_store_with_CA_certificates] \
 -Djavax.net.ssl.trustStorePassword=[trust_store_password] \
 [MainClass]

    et puis votre code devient juste

    HttpsURLConnection con = (HttpsURLConnection) (new URL(urlString)).openConnection();
con.connect();
con.getInputStream();
con.disconnect();

    Si vous vous sentez masochiste, le JSSE réf guide est très amusant.

    • Salut. Merci pour votre aide. La façon dont le certificat est généré est hors de mes connaissances. Ma conjecture est que le serveur est à l'aide de keytool -genkey ou une sorte d'auto-signé ou facile à créer le certificat. Pour le fichier de clés, le fichier cacerts (par défaut je crois) était vide. Le cert j'ai importé en est le seul certificat à l'intérieur pour le moment. Même quand j'ai déplacé le fichier de l' $JAVA_HOME/jre/lib/security, je pourrais toujours aller sur le site normalement. Je vais regarder dans le guide, vous liés.
    • Vous pouvez voir l'Autorité d'Émission dans firefox. Allez sur le site, et cliquez à gauche de la barre d'adresse. Une fenêtre pop-up s'affiche, cliquez sur "plus d'informations", cliquez sur l'onglet "sécurité". Cliquez ensuite sur "afficher le certificat" et de vérifier l'information où il est dit "délivré par". Si ce n'est pas l'un des grands autorité de certification de confiance des autorités, puis vous aurez besoin d'obtenir que le certificat d'autorité de certification et de créer une banque de confiance avec le CA cert.
    • Salut. J'ai vérifié l'émetteur et il s'avère être Entrust, Inc. Je crois que c'est un mondial autorité de certification de confiance de l'autorité. Ce qui est regrettable pour mon cas pour vos conseils pour le cas où il ne l'est pas?
    • Confier n'est pas par défaut dans le fichier cacerts (il est situé dans $JAVA_HOME/jre/lib/security/cacerts), au moins dans le JDK 1.6.26. Vous pouvez dresser la liste de tous les CA certs en exécutant la commande keytool -list -keystore cacerts dans le même dossier. Je pense que vous pouvez télécharger les certificats d'autorité de certification de Confier à partir de ceci de la page. Vous avez seulement besoin de l'un des certificats, vérifiez que le nom du certificat dans firefox et il devrait y avoir un correspondant dans le site.
    • Salut à nouveau. Qui, malheureusement, ne l'aide pas. Le certificat s'avère être une chaîne de 3 certs. La racine est Confier 2048 et je l'ai importé à partir du site lié. L'intermédiaire de l'une est de Confier l'Autorité de Certification L1B dont je n'ai aucune idée de comment l'obtenir. Le dernier est ce que je me suis donné comme une .fichier p12. Après l'installation du root 2048 cert, j'ai toujours une erreur 403. Je crois que j'ai besoin de faire quelque chose de plus que juste l'importation de tous les certs. Quelque chose comme la présentation au serveur de la certs / touches via une sorte de demandes ou d'authentification?
    • Java doit le faire automatiquement, c'est pourquoi il est possible de transmettre les certificats de paramètres de ligne de commande et une application devrait fonctionner de toute façon. Désolé que je wan a pas pu être d'une grande aide. JSSE est sombre de l'art :(.
    • Pas de problème. Votre aide a été un grand =D. je peux réellement obtenir dans avec SSLSocket (Mais pas HttpsURLConnection). Peut-être que je vais essayer quelque chose.

    InformationsquelleAutor Augusto
  3. 3

    C'est ce qui a fonctionné pour moi:

       KeyStore keyStore  = KeyStore.getInstance("PKCS12");
    FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
    try {
        keyStore.load(instream, "password".toCharArray());
    } finally {
        instream.close();
    }

    //Trust own CA and all self-signed certs
    SSLContext sslcontext = SSLContexts.custom()
        .loadKeyMaterial(keyStore, "password".toCharArray())
        //.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy())
        .build();
    //Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
    CloseableHttpClient httpclient = HttpClients.custom()
        .setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER)
        .setSSLSocketFactory(sslsf)
        .build();
    try {

        HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }
}
    InformationsquelleAutor EpicPandaForce
  4. 0

    Simple commande keytool pour exporter votre .p12 fichier de clés en .jks keystore:

    keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks

    InformationsquelleAutor Rauno Veberson