Как принять самозаверяющие сертификаты для соединений JNDI / LDAP?

Question

Мне нужно подключиться к каталогу LDAP через SSL.

В непроизводственных средах мы используем самозаверяющие сертификаты, которые, конечно, не проходят проверку с помощью:

javax.naming.CommunicationException: simple bind failed: ldapserver:636 [Root exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target]
 at com.sun.jndi.ldap.LdapClient.authenticate(LdapClient.java:197)
 at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2694)
 at com.sun.jndi.ldap.LdapCtx.<init>(LdapCtx.java:293)
 at com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:175)
 at com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:193)
 at com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:136)
 at com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:66)
 at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:667)
 at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:288)
 at javax.naming.InitialContext.init(InitialContext.java:223)
 at javax.naming.ldap.InitialLdapContext.<init>(InitialLdapContext.java:134)

Я знаю, как использовать настраиваемый менеджер доверия для соединений с поддержкой SSL , но не знаю, как его использовать в связи с JNDI API, где я не управляю фактическим соединением.То есть, где при следующей стандартной настройке я смогу подключить диспетчер доверия?

Заранее спасибо.

Hashtable env = new Hashtable();
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.PROVIDER_URL, "ldaps://ldapserver:636");
env.put(Context.SECURITY_PROTOCOL, "ssl");
env.put(Context.SECURITY_AUTHENTICATION, "simple");
env.put(Context.SECURITY_PRINCIPAL, "myUser");
env.put(Context.SECURITY_CREDENTIALS, "myPassword");
LdapContext ctx = new InitialLdapContext(env, null);
ctx.search (...)

Answer 1

Согласно документации JNDI представляется возможным установить пользовательский SSLSocketFactory

http://download.oracle.com/javase/1.5.0/docs/guide/jndi/jndi-ldap-gl.html#socket

public class MySSLSocketFactory extends SocketFactory {
    private static final AtomicReference<MySSLSocketFactory> defaultFactory = new AtomicReference<>();

    private SSLSocketFactory sf;

    public MySSLSocketFactory() {
        KeyStore keyStore = ... /* Get a keystore containing the self-signed certificate) */
        TrustManagerFactory tmf = TrustManagerFactory.getInstance();
        tmf.init(keyStore);
        SSLContext ctx = SSLContext.getInstance("TLS");
        ctx.init(null, tmf.getTrustManagers(), null);
        sf = ctx.getSocketFactory();
    }

    public static SocketFactory getDefault() {
        final MySSLSocketFactory value = defaultFactory.get();
        if (value == null) {
            defaultFactory.compareAndSet(null, new MySSLSocketFactory());
            return defaultFactory.get();
        }
        return value;
    }

    @Override
    public Socket createSocket(final String s, final int i) throws IOException {
        return sf.createSocket(s, i);
    }

    @Override
    public Socket createSocket(final String s, final int i, final InetAddress inetAddress, final int i1) throws IOException {
        return sf.createSocket(s, i, inetAddress, i1);
    }

    @Override
    public Socket createSocket(final InetAddress inetAddress, final int i) throws IOException {
        return sf.createSocket(inetAddress, i);
    }

    @Override
    public Socket createSocket(final InetAddress inetAddress, final int i, final InetAddress inetAddress1, final int i1) throws IOException {
        return sf.createSocket(inetAddress, i, inetAddress1, i1);
    }
}

Конфигурировать среду для использования этой фабрики сокетов

env.put("java.naming.ldap.factory.socket", "com.example.MySSLSocketFactory");

Answer 2

Вы можете принять любой сертификат при переопределении Trustmanager:

DummyTrustmanager.java

public class DummyTrustmanager implements X509TrustManager {
    public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {
        // do nothing
    }

    public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException {
        // do nothing
    }

    public X509Certificate[] getAcceptedIssuers() {
        return new java.security.cert.X509Certificate[0];
    }
}

MySSLSocketFactory.java

public class MySSLSocketFactory extends SSLSocketFactory {
    private SSLSocketFactory socketFactory;

    public MySSLSocketFactory() {
        try {
            SSLContext ctx = SSLContext.getInstance("TLS");
            ctx.init(null, new TrustManager[] { new DummyTrustmanager() }, new SecureRandom());
            socketFactory = ctx.getSocketFactory();
        } catch (Exception ex) {
            ex.printStackTrace(System.err);
            /* handle exception */
        }
    }

    public static SocketFactory getDefault() {
        return new MySSLSocketFactory();
    }

    @Override
    public String[] getDefaultCipherSuites() {
        return socketFactory.getDefaultCipherSuites();
    }

    @Override
    public String[] getSupportedCipherSuites() {
        return socketFactory.getSupportedCipherSuites();
    }

    @Override
    public Socket createSocket(Socket socket, String string, int i, boolean bln) throws IOException {
        return socketFactory.createSocket(socket, string, i, bln);
    }

    @Override
    public Socket createSocket(String string, int i) throws IOException, UnknownHostException {
        return socketFactory.createSocket(string, i);
    }

    @Override
    public Socket createSocket(String string, int i, InetAddress ia, int i1) throws IOException, UnknownHostException {
        return socketFactory.createSocket(string, i, ia, i1);
    }

    @Override
    public Socket createSocket(InetAddress ia, int i) throws IOException {
        return socketFactory.createSocket(ia, i);
    }

    @Override
    public Socket createSocket(InetAddress ia, int i, InetAddress ia1, int i1) throws IOException {
        return socketFactory.createSocket(ia, i, ia1, i1);
    }
}

Main.java

public class Main {
    public static void main(String[] args) throws NamingException {
        Hashtable env = new Hashtable(11);
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
        env.put(Context.PROVIDER_URL, "ldaps://ldapserver:636/");
        env.put(Context.SECURITY_PROTOCOL, "ssl");
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        env.put(Context.SECURITY_PRINCIPAL, "myUser");
        env.put(Context.SECURITY_CREDENTIALS, "myPassword");
        env.put("java.naming.ldap.factory.socket", "ldapsecure.MySSLSocketFactory");
        LdapContext ctx = new InitialLdapContext(env, null);
    }
}

Answer 3

Код не требуется. Просто добавьте сертификат в тестовые клиентские тресты.

Не пишите дополнительный код для этого. Это небезопасно, и вы подвергаетесь серьезному риску утечки кода в производство. Вы действительно не хотите этого.

Answer 4

@ Jcs ответ правильный, но если вы не хотите использовать пользовательский TrustManager и если вы хотите, чтобы этот конкретный самозаверяющий сертификат был доверенным центром сертификации для других применений в виртуальной машине, вы можете либо:

• добавьте этот сертификат в хранилище доверенных сертификатов по умолчанию (обычно cacerts в каталоге безопасности JRE) или
• создайте новое хранилище доверенных сертификатов в другом месте (возможно, на основе копииcacerts) по умолчанию, который будет содержать этот конкретный сертификат и использовать его в качестве хранилища доверенных сертификатов по умолчанию, но с настройкой системных свойств javax.net.ssl.trustStore*.

Answer 5

Если полностью исключить JNDI, некоторые платформы будут ссылаться на конфигурацию LDAP ЛОКАЛЬНОЙ СИСТЕМЫ (обычно это /etc/ldap.conf или что-то в этом роде). Когда я говорю «ЛОКАЛЬНЫЙ», я имею в виду системы, в которых выполняется ваша операция JNDI.

По крайней мере, в случае большинства ОС Linux с поддержкой LDAP, внутри такого файла конфигурации LDAP (обычно) есть строка, которая гласит:

TLS_REQCERT demand

Это настройка критичности TLS / SSL по умолчанию (и самая строгая), так как она потерпит неудачу при соединении, если НИЧЕГО НЕ ВЕРНО с сертификатом (включая самоподписывание).

Вы можете поэкспериментировать с другими настройками вместо «спроса» (играйте с «разрешить» или «никогда»). Как только это будет сделано, попробуйте снова выполнить операцию и посмотрите, исчезнет ли ваша проблема. Опять же, не все подобные вещи будут читать или даже определять настройки вашей локальной системы. Некоторые делают, некоторые нет. Стоит посмотреть.

Надеюсь, это поможет ...

Макс

Answer 6

Прошло около 5 лет с тех пор, как я в последний раз делал это, поэтому мой ответ будет немного расплывчатым, я боюсь; но я думаю, что если вы используете надежного провайдера в java.security, вы можете найти его в / usr / java / jre / lib / security /; затем он примет сертификат как доверенный.

В данный момент у меня нет доступа к моим заметкам, но позже я их покопаю