Я работаю над достижением безопасных вызовов API. Сервер, который я использую для этого теста, - JBoss EAP 7.2.0., И я тестирую в среде Windows (Windows 10 64-бит). Для этого я установил следующую среду тестирования:
Две установки сервера в двух разных местах: - D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0 \ (Здесь служба REST Secure будет развернуто) - D: \ Redhat \ SecureTests \ client-app \ EAP-7.2.0 \ (здесь будет развернуто клиентское приложение, которое будет отправлять запросы к безопасному API через https)
Я запустился путем создания хранилищ ключей, сертификатов и необходимых ключей:
D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0 \ mkdir server-keystore
cd D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0 \ server-keystore
создать хранилище ключей по:
D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0 \ server-keystore> C: \ Java \ jdk1.8.0_141 \ bin \ keytool.exe -genkey -alias localhost -keyalg RSA -keystore server-ks2.jks
Создание сертификата и закрытого ключа:
D: \ OpenSSL-Win64 \ bin \ openssl.exe req -newkey rsa: 4096 -x509 -sha256 -days 36 50-out server-cert2.crt -keyout server-key2.key
Импорт сертификата в хранилище ключей:
C: \ Java \ jdk1.8.0_141 \ bin \ keytool.exe -import -alias localhost -keystore server-ks2.jks -trustcacerts -file server-cert2.crt
Теперь в каталоге server-keystore у меня есть следующие файлы:
- server-ks2.jks
- server-key2.key
- server-cert2.crt
Нам необходимо включить хранилище ключей к файлам конфигурации JBoss, в частности к автономному файлу. xml, расположенному по адресу: D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0 \ standalone \ configuration
Элемент - изменено как показано ниже:
<management>
<security-realms>
<security-realm name="CertificateRealm">
<server-identities>
<ssl>
<keystore path="D:\Redhat\SecureTests\server-app\EAP-7.2.0\server-keystore\server-ks2.jks" keystore-password="password" alias="localhost"/>
</ssl>
</server-identities>
<authentication>
<truststore path="D:\Redhat\SecureTests\server-app\EAP-7.2.0\server-keystore\server-ks2.jks" keystore-password="password"/>
</authentication>
</security-realm>
<security-realm name="ManagementRealm">
<authentication>
<local default-user="$local" skip-group-loading="true"/>
<properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization map-groups-to-roles="false">
<properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="D:\Redhat\SecureTests\server-app\EAP-7.2.0\server-keystore\server-ks2.jks" keystore-password="password" alias="localhost"/>
</ssl>
</server-identities>
<authentication>
<truststore path="D:\Redhat\SecureTests\server-app\EAP-7.2.0\server-keystore\server-ks2.jks" keystore-password="password"/>
<local default-user="$local" allowed-users="*" skip-group-loading="true"/>
<properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization>
<properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
</security-realms>
<audit-log>
<formatters>
<json-formatter name="json-formatter"/>
</formatters>
<handlers>
<file-handler name="file" formatter="json-formatter" path="audit-log.log" relative-to="jboss.server.data.dir"/>
</handlers>
<logger log-boot="true" log-read-only="false" enabled="false">
<handlers>
<handler name="file"/>
</handlers>
</logger>
</audit-log>
<management-interfaces>
<http-interface security-realm="ManagementRealm">
<http-upgrade enabled="true"/>
<socket-binding http="management-http"/>
</http-interface>
</management-interfaces>
<access-control provider="simple">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
</management>
Далее перейдите в каталог установки клиентского приложения:
cd D: \ Redhat \ SecureTests \ client-app \ EAP-7.2. 0
D: \ Redhat \ SecureTests \ client-app \ EAP-7.2.0> mkdir client-keystore
cd D: \ Redhat \ SecureTests \ клиент-приложение \ EAP-7.2.0 \ клиент-хранилище ключей * 1 059 *
Теперь создайте хранилище ключей на сайте клиента:
D: \ Redhat \ SecureTests \ client-app \ EAP-7.2.0 \ client-keystore> C : \ Java \ jdk1.8.0_141 \ bin \ keytool.exe -genkey -alias localhost -keyalg RSA -keystore client-ks2.jks
Скопировать сертификат серверного приложения в каталог Хранилище ключей. В приведенном выше каталоге теперь мы получаем:
- client-ks2.jks
- server-cert2.crt
Импортируем server-cert2 .crt в клиентское хранилище ключей 'client-ks2.jks':
C: \ Java \ jdk1.8.0_141 \ bin \ keytool.exe -import -alias localhost -keystore client-ks2.jks - trustcacerts -file server-cert2.crt
Я использую тот же пароль, который я использовал при создании сертификатов и хранилищ ключей, то есть «пароль», я сталкиваюсь с ошибкой ниже:
keytool ошибка: java .lang.Exception: Publi c ключи в ответе и хранилище ключей не совпадают
ВОПРОС # 1 : Чем отличаются ключи ? Буду признателен за некоторые пояснения, так как я новичок в такого рода процедурах.
Однако, если я изменю указанную выше команду импорта keytool путем изменения псевдонима, импорт будет успешно продолжен:
C: \ Java \ jdk1.8.0_141 \ bin \ keytool.exe -import -alias localhost1 -keystore client-ks2.jks -trustcacerts -file server-cert2.crt
( заменил псевдоним 'localhost' на 'localhost1')
Продолжая, я обновляю конфигурацию конфигурации JBoss, в которой будет развернуто клиентское приложение, в частности, в автономный файл. xml, расположенный по адресу: D: \ Redhat \ SecureTests \ client-app \ EAP-7.2.0 \ standalone \ configuration и изменил элемент -, как показано ниже:
<management>
<security-realms>
<security-realm name="CertificateRealm">
<server-identities>
<ssl>
<keystore path="D:\Redhat\SecureTests\client-app\EAP-7.2.0\client-keystore\client-ks2.jks" keystore-password="password" alias="localhost"/>
</ssl>
</server-identities>
<authentication>
<truststore path="D:\Redhat\SecureTests\client-app\EAP-7.2.0\client-keystore\client-ks2.jks" keystore-password="password"/>
</authentication>
</security-realm>
<security-realm name="ManagementRealm">
<authentication>
<local default-user="$local" skip-group-loading="true"/>
<properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization map-groups-to-roles="false">
<properties path="mgmt-groups.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
<security-realm name="ApplicationRealm">
<server-identities>
<ssl>
<keystore path="D:\Redhat\SecureTests\client-app\EAP-7.2.0\client-keystore\client-ks2.jks" keystore-password="password" alias="localhost"/>
</ssl>
</server-identities>
<authentication>
<truststore path="D:\Redhat\SecureTests\client-app\EAP-7.2.0\client-keystore\client-ks2.jks" keystore-password="password"/>
<local default-user="$local" allowed-users="*" skip-group-loading="true"/>
<properties path="application-users.properties" relative-to="jboss.server.config.dir"/>
</authentication>
<authorization>
<properties path="application-roles.properties" relative-to="jboss.server.config.dir"/>
</authorization>
</security-realm>
</security-realms>
<audit-log>
<formatters>
<json-formatter name="json-formatter"/>
</formatters>
<handlers>
<file-handler name="file" formatter="json-formatter" path="audit-log.log" relative-to="jboss.server.data.dir"/>
</handlers>
<logger log-boot="true" log-read-only="false" enabled="false">
<handlers>
<handler name="file"/>
</handlers>
</logger>
</audit-log>
<management-interfaces>
<http-interface security-realm="ManagementRealm">
<http-upgrade enabled="true"/>
<socket-binding http="management-http"/>
</http-interface>
</management-interfaces>
<access-control provider="simple">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>
</management>
Я запускаю обе службы и развертываю две приложения:
1- Серверное приложение: Rest Controller с одной конечной точкой, развернуто на сервере-приложении (D: \ Redhat \ SecureTests \ server-app \ EAP-7.2.0):
@RestController
public class ServerSecureApiRestController {
@RequestMapping(value="/testSecureServerAPI",method = RequestMethod.POST)
public String test(@RequestBody String requestString)
{
String echoRequest="";
echoRequest = requestString;
return requestString;
}
Выше Контроллер проверяется на Почтальоне по URI:
https://localhost: 8443 / server-app-api / testSecureServerAPI
При успешных результатах ввод JSON запроса просто возвращается в ответ.
2 - Клиентское приложение: Rest Controller развернут в клиентском приложении (D: \ Redhat \ SecureTests \ client-app \ EAP-7.2.0), также Rest Controller, который будет безопасно отправить запрос следующим образом:
@RestController
public class ClientAppApiClientTestRestController {
// Define rest template for api calls:
private RestTemplate restTemplate = new RestTemplate();
static {
//for localhost testing only
javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(
new javax.net.ssl.HostnameVerifier(){
public boolean verify(String hostname,
javax.net.ssl.SSLSession sslSession) {
if (hostname.equals("localhost")) {
return true;
}
return false;
}
});
}
@RequestMapping(value="/testSecureAPI",method = RequestMethod.POST)
public Object executeTestService(@RequestBody String stringRequest) {
if (config != null) {
return this.restTemplate.postForObject("https://localhost:8443/server-app-api/testSecureServerAPI", stringRequest, Object.class);
} else {
return null;
}
}
}
После выполнения клиентского приложения из Postman с помощью «http://localhost: 8085 / client-app-api / testSecureAPI » я получаю ниже ошибка:
19:08:40,301 ERROR [io.undertow.request] (default task-1) UT005023: Exception handling request to /server-app-api-test-client/testSecureAPI: org.springframework.web.util.NestedServletException: Request processing failed; nested exception is org.springframework.web.client.ResourceAccessException: I/O error on POST request for "https://localhost:8443/server-app-api/testSecureServerAPI":sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:973)
at org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:863)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:706)
at org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:837)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:791)
at io.undertow.servlet.handlers.ServletHandler.handleRequest(ServletHandler.java:74)
at io.undertow.servlet.handlers.security.ServletSecurityRoleHandler.handleRequest(ServletSecurityRoleHandler.java:62)
at io.undertow.servlet.handlers.ServletChain$1.handleRequest(ServletChain.java:68)
at io.undertow.servlet.handlers.ServletDispatchingHandler.handleRequest(ServletDispatchingHandler.java:36)
at org.wildfly.extension.undertow.security.SecurityContextAssociationHandler.handleRequest(SecurityContextAssociationHandler.java:78)
at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
at io.undertow.servlet.handlers.security.SSLInformationAssociationHandler.handleRequest(SSLInformationAssociationHandler.java:132)
at io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:57)
at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
at io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:46)
at io.undertow.servlet.handlers.security.ServletConfidentialityConstraintHandler.handleRequest(ServletConfidentialityConstraintHandler.java:64)
at io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:60)
at io.undertow.servlet.handlers.security.CachedAuthenticatedSessionHandler.handleRequest(CachedAuthenticatedSessionHandler.java:77)
at io.undertow.security.handlers.NotificationReceiverHandler.handleRequest(NotificationReceiverHandler.java:50)
at io.undertow.security.handlers.AbstractSecurityContextAssociationHandler.handleRequest(AbstractSecurityContextAssociationHandler.java:43)
at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
at org.wildfly.extension.undertow.security.jacc.JACCContextIdHandler.handleRequest(JACCContextIdHandler.java:61)
at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
at org.wildfly.extension.undertow.deployment.GlobalRequestControllerHandler.handleRequest(GlobalRequestControllerHandler.java:68)
at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
at io.undertow.servlet.handlers.ServletInitialHandler.handleFirstRequest(ServletInitialHandler.java:292)
at io.undertow.servlet.handlers.ServletInitialHandler.access$100(ServletInitialHandler.java:81)
at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:138)
at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:135)
at io.undertow.servlet.core.ServletRequestContextThreadSetupAction$1.call(ServletRequestContextThreadSetupAction.java:48)
at io.undertow.servlet.core.ContextClassLoaderSetupAction$1.call(ContextClassLoaderSetupAction.java:43)
at org.wildfly.extension.undertow.security.SecurityContextThreadSetupAction.lambda$create$0(SecurityContextThreadSetupAction.java:105)
at org.wildfly.extension.undertow.deployment.UndertowDeploymentInfoService$UndertowThreadSetupAction.lambda$create$0(UndertowDeploymentInfoService.java:1502)
at org.wildfly.extension.undertow.deployment.UndertowDeploymentInfoService$UndertowThreadSetupAction.lambda$create$0(UndertowDeploymentInfoService.java:1502)
at org.wildfly.extension.undertow.deployment.UndertowDeploymentInfoService$UndertowThreadSetupAction.lambda$create$0(UndertowDeploymentInfoService.java:1502)
at org.wildfly.extension.undertow.deployment.UndertowDeploymentInfoService$UndertowThreadSetupAction.lambda$create$0(UndertowDeploymentInfoService.java:1502)
at io.undertow.servlet.handlers.ServletInitialHandler.dispatchRequest(ServletInitialHandler.java:272)
at io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:81)
at io.undertow.servlet.handlers.ServletInitialHandler$1.handleRequest(ServletInitialHandler.java:104)
at io.undertow.server.Connectors.executeRootHandler(Connectors.java:360)
at io.undertow.server.HttpServerExchange$1.run(HttpServerExchange.java:830)
at org.jboss.threads.ContextClassLoaderSavingRunnable.run(ContextClassLoaderSavingRunnable.java:35)
at org.jboss.threads.EnhancedQueueExecutor.safeRun(EnhancedQueueExecutor.java:1985)
at org.jboss.threads.EnhancedQueueExecutor$ThreadBody.doRunTask(EnhancedQueueExecutor.java:1487)
at org.jboss.threads.EnhancedQueueExecutor$ThreadBody.run(EnhancedQueueExecutor.java:1378)
at java.lang.Thread.run(Thread.java:748)
Caused by: org.springframework.web.client.ResourceAccessException: I/O error on POST request for "https://localhost:8443/server-app-api/testSecureServerAPI":sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:558)
at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:503)
at org.springframework.web.client.RestTemplate.postForObject(RestTemplate.java:331)
at com.emcrey.rest.client.ClientAppApiClientTestRestController.executeTestService(ClientAppApiClientTestRestController .java:51)
at com.emcrey.rest.controller.ClientAppApiClientTestRestController.testEmptyAPI(ClientAppApiClientTestRestController.java:32)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.lang.reflect.Method.invoke(Method.java:498)
at org.springframework.web.method.support.InvocableHandlerMethod.invoke(InvocableHandlerMethod.java:215)
at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:132)
at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:104)
at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandleMethod(RequestMappingHandlerAdapter.java:749)
at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:689)
at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:83)
at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:938)
at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:870)
at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:961)
... 45 more
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1959)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:302)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:296)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1514)
at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:216)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:1026)
at sun.security.ssl.Handshaker.process_record(Handshaker.java:961)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1072)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1385)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1413)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1397)
at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
at org.springframework.http.client.SimpleBufferingClientHttpRequest.executeInternal(SimpleBufferingClientHttpRequest.java:78)
at org.springframework.http.client.AbstractBufferingClientHttpRequest.executeInternal(AbstractBufferingClientHttpRequest.java:48)
at org.springframework.http.client.AbstractClientHttpRequest.execute(AbstractClientHttpRequest.java:52)
at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:542)
... 62 more
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:397)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:302)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)
... 76 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:392)
... 82 more
Любые советы, советы или объяснения высоко ценится!
Заранее спасибо,
С уважением,