Я хочу динамически добавлять / заменять сертификаты SSL в моем приложении с весенней загрузкой (tomcat) без необходимости его перезапуска.Мне еще предстоит пройти долгий путь, но в настоящее время я застрял с javax.crypto.BadPaddingException и не знаю, почему.
Так вот что я пытаюсь сделать.
Во-первых, я определяю свой собственный TomcatServletWebServerFactory, чтобы установить SslStoreProvider.
@Component
public class PathWatchingTomcatFactory extends TomcatServletWebServerFactory {
public PathWatchingTomcatFactory(PathWatchingSslStoreProvider pathWatchingSslStoreProvider) {
setSslStoreProvider(pathWatchingSslStoreProvider);
}
}
Мой PathWatchingSslStoreProvider обеспечивает PathMatchingKeyStore.
@Component
public class PathWatchingSslStoreProvider implements SslStoreProvider {
private final PathWatchingKeyStore pathWatchingKeyStore;
public PathWatchingSslStoreProvider(PathWatchingKeyStore pathWatchingKeyStore) {
this.pathWatchingKeyStore = pathWatchingKeyStore;
}
@Override
public KeyStore getKeyStore() throws Exception {
return pathWatchingKeyStore;
}
}
PathWatchingKeyStore кажется необходимым только для предоставления ему интерфейса поставщика услуг.
@Component
public class PathWatchingKeyStore extends KeyStore {
protected PathWatchingKeyStore(
PathWatchingKeyStoreSpi pathWatchingKeyStoreSpi,
DynamicProvider provider)
{
super(pathWatchingKeyStoreSpi, provider, KeyStore.getDefaultType());
initialize();
}
private void initialize() {
// Loading a keystore marks it internally as initialized and only
// initialized keystores work properly. Unfortunately
// nobody initializes this keystore. So we have to do it
// ourselves.
//
// Internally the keystore will delegate loading to the
// KeyStoreSpi, which, in our case is the PathWatchingKeyStoreSpi.
try {
load(null, null);
}
catch (Exception e) {
e.printStackTrace();
}
}
}
Теперь при запуске хранилище ключей будет загружено.И поскольку я предоставляю SslStoreProvider, мое хранилище ключей будет загружено SslStoreProviderUrlStreamHandlerFactory путем запроса моего PathWatchingKeyStoreSpi сохранить его хранилище ключей в ByteArrayOutputStream, содержимое которого, наконец, копируется в InputStream, который используется для загрузки внутреннего хранилища ключей. * 10 * 10 * * 10 * * 10 *В следующем фрагменте кода вы можете увидеть, как я пытаюсь записать содержимое уже существующего хранилища ключей.Сейчас вообще нет динамики.Я только хочу увидеть, запускается ли приложение весенней загрузки со всеми этими пользовательскими классами.Но это не так.
@Component
public class PathWatchingKeyStoreSpi extends KeyStoreSpi {
private static final Logger LOGGER = LoggerFactory.getLogger(PathWatchingKeyStoreSpi.class);
private final Path keyStoreLocation;
public PathWatchingKeyStoreSpi(@Value("${server.ssl.key-store}") Path keyStoreLocation) {
super();
this.keyStoreLocation = keyStoreLocation;
}
@Override
public void engineStore(OutputStream stream, char[] password) throws IOException, NoSuchAlgorithmException, CertificateException {
try {
final KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(new FileInputStream(keyStoreLocation.toString()), "secret".toCharArray());
// Password must be empty because the SslConnectorCustomizer sets the keystore
// password used by the tomcat to the empty string if the SslStoreProvider
// returns a keystore. And because that is what we wanted to do in the first place,
// providing a dynamic keystore, this is what we have to do.
keyStore.store(stream, "".toCharArray());
}
catch (Exception e) {
e.printStackTrace();
}
}
}
Я вижу, что хранилище ключей загружено, но как только SSLUtilBase пытается прочитать ключ из этого хранилища, возникает исключение BadPaddingException:
Caused by: javax.crypto.BadPaddingException: Given final block not properly padded. Such issues can arise if a bad key is used during decryption.
at java.base/com.sun.crypto.provider.CipherCore.unpad(CipherCore.java:975) ~[na:na]
at java.base/com.sun.crypto.provider.CipherCore.fillOutputBuffer(CipherCore.java:1056) ~[na:na]
at java.base/com.sun.crypto.provider.CipherCore.doFinal(CipherCore.java:853) ~[na:na]
at java.base/com.sun.crypto.provider.PKCS12PBECipherCore.implDoFinal(PKCS12PBECipherCore.java:408) ~[na:na]
at java.base/com.sun.crypto.provider.PKCS12PBECipherCore$PBEWithSHA1AndDESede.engineDoFinal(PKCS12PBECipherCore.java:440) ~[na:na]
at java.base/javax.crypto.Cipher.doFinal(Cipher.java:2202) ~[na:na]
at java.base/sun.security.pkcs12.PKCS12KeyStore.lambda$engineGetKey$0(PKCS12KeyStore.java:406) ~[na:na]
at java.base/sun.security.pkcs12.PKCS12KeyStore$RetryWithZero.run(PKCS12KeyStore.java:302) ~[na:na]
at java.base/sun.security.pkcs12.PKCS12KeyStore.engineGetKey(PKCS12KeyStore.java:400) ~[na:na]
... 25 common frames omitted
Я создал статическое хранилище ключей, которое я здесь использую, следующим образом:
keytool -genkey -alias tomcat -keyalg RSA
Прежде всего, обещает ли направление, в котором я собираюсь решить мою проблему?Или я совершенно не прав?Сначала я попытался ввести только свой X509ExtendedKeyManager.В отладчике я мог видеть, что именно менеджер ключей запрашивает сертификат для входящего запроса, но тем не менее конечная точка tomcat, похоже, инициализируется с хранилищем ключей без участия менеджера.
Кто-нибудь когда-нибудь пытался реализовать и использовать динамическое хранилище ключей / trustore для приложения с весенней загрузкой, использующего tomcat в качестве контейнера сервлетов?
Любая помощь приветствуется.Tobias