Question

Я использую Java 6 и пытаюсь создать HttpsURLConnection для удаленного сервера, используя сертификат клиента.
Сервер использует самоподписанный корневой сертификат и требует предоставления защищенного паролем клиентского сертификата. Я добавил корневой сертификат сервера и сертификат клиента в хранилище ключей Java по умолчанию, которое я нашел в /System/Library/Frameworks/JavaVM.framework/Versions/1.6.0/Home/lib/security/cacerts (OSX 10.5). Кажется, имя файла хранилища ключей указывает на то, что сертификат клиента не должен туда входить?

В любом случае, добавление корневого сертификата в этот магазин решило печально известную javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed' problem.

Однако я застрял на том, как использовать сертификат клиента. Я попробовал два подхода, и ни один из них никуда меня не привел.
Сначала, желательно, попробуйте:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://somehost.dk:3049");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
// The last line fails, and gives:
// javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Я попытался пропустить класс HttpsURLConnection (не идеально, так как я хочу общаться HTTP с сервером), и вместо этого сделать это:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("somehost.dk", 3049);
InputStream inputstream = sslsocket.getInputStream();
// do anything with the inputstream results in:
// java.net.SocketTimeoutException: Read timed out

Я даже не уверен, что проблема в сертификате клиента.

Jan · Answer 1 · 19 мая 2009

Наконец-то решил это;). Получил сильный намек здесь (ответ Гэндальфа тоже коснулся его). Недостающие ссылки были (главным образом) первым из приведенных ниже параметров, и в некоторой степени я упустил из виду разницу между хранилищами ключей и хранилищами доверенных сертификатов.

Самоподписанный сертификат сервера должен быть импортирован в склад доверенных сертификатов:

keytool -import -alias gridserver -file gridserver.crt -storepass $ PASS -keystore gridserver.keystore

Эти свойства необходимо установить (либо в командной строке, либо в коде):

-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.keyStore=clientcertificate.p12
-Djavax.net.ssl.trustStore=gridserver.keystore
-Djavax.net.debug=ssl # very verbose debug
-Djavax.net.ssl.keyStorePassword=$PASS
-Djavax.net.ssl.trustStorePassword=$PASS

Рабочий пример кода:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://gridserver:3049/cgi-bin/ls.py");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
InputStreamReader inputstreamreader = new InputStreamReader(inputstream);
BufferedReader bufferedreader = new BufferedReader(inputstreamreader);

String string = null;
while ((string = bufferedreader.readLine()) != null) {
    System.out.println("Received " + string);
}

neu242 · Answer 2 · 18 мая 2009

Хотя это и не рекомендуется, вы также можете полностью отключить проверку SSL-сертификата:

import javax.net.ssl.*;
import java.security.SecureRandom;
import java.security.cert.X509Certificate;

public class SSLTool {

  public static void disableCertificateValidation() {
    // Create a trust manager that does not validate certificate chains
    TrustManager[] trustAllCerts = new TrustManager[] { 
      new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() { 
          return new X509Certificate[0]; 
        }
        public void checkClientTrusted(X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(X509Certificate[] certs, String authType) {}
    }};

    // Ignore differences between given hostname and certificate hostname
    HostnameVerifier hv = new HostnameVerifier() {
      public boolean verify(String hostname, SSLSession session) { return true; }
    };

    // Install the all-trusting trust manager
    try {
      SSLContext sc = SSLContext.getInstance("SSL");
      sc.init(null, trustAllCerts, new SecureRandom());
      HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
      HttpsURLConnection.setDefaultHostnameVerifier(hv);
    } catch (Exception e) {}
  }
}

Gandalf · Answer 3 · 18 мая 2009

Вы установили свойства KeyStore и / или TrustStore System?

java -Djavax.net.ssl.keyStore=pathToKeystore -Djavax.net.ssl.keyStorePassword=123456

или из с кодом

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

То же самое с javax.net.ssl.trustStore

Mark Meuer · Answer 4 · 08 июля 2010

Если вы имеете дело с вызовом веб-службы с использованием платформы Axis, ответ будет намного проще. Если все, что вам нужно, - это чтобы ваш клиент мог вызывать веб-службу SSL и игнорировать ошибки сертификата SSL, просто поместите этот оператор перед вызовом любых веб-служб:

System.setProperty("axis.socketSecureFactory", "org.apache.axis.components.net.SunFakeTrustSocketFactory");

Применимы обычные заявления об отказе от того, что это очень плохая вещь в производственной среде.

Я нашел это в вики Оси .

EpicPandaForce · Answer 5 · 06 ноября 2014

Для меня это то, что работало с использованием Apache HttpComponents ~ HttpClient 4.x:

    KeyStore keyStore  = KeyStore.getInstance("PKCS12");
    FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
    try {
        keyStore.load(instream, "helloworld".toCharArray());
    } finally {
        instream.close();
    }

    // Trust own CA and all self-signed certs
    SSLContext sslcontext = SSLContexts.custom()
        .loadKeyMaterial(keyStore, "helloworld".toCharArray())
        //.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //custom trust store
        .build();
    // Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        new String[] { "TLSv1" },
        null,
        SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //TODO
    CloseableHttpClient httpclient = HttpClients.custom()
        .setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //TODO
        .setSSLSocketFactory(sslsf)
        .build();
    try {

        HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }

Файл P12 содержит сертификат клиента и закрытый ключ клиента, созданные с помощью BouncyCastle:

public static byte[] convertPEMToPKCS12(final String keyFile, final String cerFile,
    final String password)
    throws IOException, CertificateException, KeyStoreException, NoSuchAlgorithmException,
    NoSuchProviderException
{
    // Get the private key
    FileReader reader = new FileReader(keyFile);

    PEMParser pem = new PEMParser(reader);
    PEMKeyPair pemKeyPair = ((PEMKeyPair)pem.readObject());
    JcaPEMKeyConverter jcaPEMKeyConverter = new JcaPEMKeyConverter().setProvider("BC");
    KeyPair keyPair = jcaPEMKeyConverter.getKeyPair(pemKeyPair);

    PrivateKey key = keyPair.getPrivate();

    pem.close();
    reader.close();

    // Get the certificate
    reader = new FileReader(cerFile);
    pem = new PEMParser(reader);

    X509CertificateHolder certHolder = (X509CertificateHolder) pem.readObject();
    java.security.cert.Certificate x509Certificate =
        new JcaX509CertificateConverter().setProvider("BC")
            .getCertificate(certHolder);

    pem.close();
    reader.close();

    // Put them into a PKCS12 keystore and write it to a byte[]
    ByteArrayOutputStream bos = new ByteArrayOutputStream();
    KeyStore ks = KeyStore.getInstance("PKCS12", "BC");
    ks.load(null);
    ks.setKeyEntry("key-alias", (Key) key, password.toCharArray(),
        new java.security.cert.Certificate[]{x509Certificate});
    ks.store(bos, password.toCharArray());
    bos.close();
    return bos.toByteArray();
}

sourcerebels · Answer 6 · 18 мая 2009

Я думаю, что у вас есть проблема с вашим сертификатом сервера, это не действительный сертификат (я думаю, что в данном случае означает "handshake_failure"):

Импортируйте ваш сертификат сервера в хранилище ключей trustcacerts на JRE клиента. Это легко сделать с помощью keytool :

keytool
    -import
    -alias <provide_an_alias>
    -file <certificate_file>
    -keystore <your_path_to_jre>/lib/security/cacerts

Taylor Leese · Answer 7 · 18 мая 2009

Я использую пакет HTTP-клиента Apache commons для этого в своем текущем проекте, и он отлично работает с SSL и самозаверяющим сертификатом (после установки его в серверы, как вы упомянули). Пожалуйста, посмотрите на это здесь:

http://hc.apache.org/httpclient-3.x/tutorial.html

http://hc.apache.org/httpclient-3.x/sslguide.html

Ankur Singhal · Answer 8 · 31 марта 2014

Используя код ниже

-Djavax.net.ssl.keyStoreType=pkcs12

или

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

совсем не требуется. Также нет необходимости создавать свою собственную фабрику SSL.

Я также столкнулся с той же проблемой, в моем случае была проблема, что полная цепочка сертификатов не была импортирована в доверенные хранилища. Импортируйте сертификаты, используя утилиту keytool прямо из корневого сертификата, также вы можете открыть файл cacerts в блокноте и посмотреть, импортирована ли вся цепочка сертификатов или нет. Проверьте по псевдониму, который вы указали при импорте сертификатов, откройте сертификаты и посмотрите, сколько он содержит, столько же сертификатов должно быть в файле cacerts.

Также файл cacerts должен быть настроен на сервере, на котором вы запускаете приложение, оба сервера будут аутентифицировать друг друга с помощью открытых / закрытых ключей.

Клиентские сертификаты Java через HTTPS / SSL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 8 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Клиентские сертификаты Java через HTTPS / SSL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 8 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы