HTTPS / SSL पर जावा क्लाइंट सर्टिफिकेट

मैं जावा 6 का उपयोग कर रहा हूं और HttpsURLConnectionक्लाइंट सर्टिफिकेट का उपयोग कर रिमोट सर्वर के खिलाफ बनाने की कोशिश कर रहा हूं ।
सर्वर स्व-निर्दिष्ट रूट प्रमाणपत्र का उपयोग कर रहा है, और इसके लिए पासवर्ड-संरक्षित क्लाइंट प्रमाणपत्र प्रस्तुत करना पड़ता है। मैंने सर्वर रूट सर्टिफिकेट और क्लाइंट सर्टिफिकेट को डिफॉल्ट जावा कीस्टोर में जोड़ा है जो मुझे /System/Library/Frameworks/JavaVM.framework/Versions/1.6.0/Home/lib/security/cacerts(OSX 10.5) में मिला है । कीस्टोर फ़ाइल का नाम ऐसा प्रतीत होता है कि ग्राहक प्रमाणपत्र को वहां नहीं जाना है?

वैसे भी, इस स्टोर में रूट सर्टिफिकेट को जोड़ने से कुख्यात हल हो गया javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed' problem.

हालाँकि, मैं अब इस बात पर अड़ा हुआ हूं कि क्लाइंट सर्टिफिकेट का उपयोग कैसे किया जाए। मैं दो तरीकों की कोशिश की है और न ही मुझे कहीं भी मिलता है।
सबसे पहले, और पसंदीदा, कोशिश करें:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://somehost.dk:3049");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
// The last line fails, and gives:
// javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

मैंने HttpsURLConnection वर्ग को छोड़ देने की कोशिश की है (आदर्श नहीं है क्योंकि मैं सर्वर से HTTP बात करना चाहता हूं), और इसके बजाय यह करें:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("somehost.dk", 3049);
InputStream inputstream = sslsocket.getInputStream();
// do anything with the inputstream results in:
// java.net.SocketTimeoutException: Read timed out

मुझे यह भी पक्का नहीं है कि क्लाइंट सर्टिफिकेट यहां की समस्या है।

अंत में इसे हल किया;); यहां एक मजबूत संकेत मिला (गैंडाल्स उत्तर ने उस पर थोड़ा सा स्पर्श किया)। नीचे दिए गए मापदंडों में से लापता लिंक (ज्यादातर) था, और कुछ हद तक कि मैंने कीस्टोर्स और ट्रस्टीओर्स के बीच के अंतर को अनदेखा किया था।

स्व-हस्ताक्षरित सर्वर प्रमाणपत्र को एक ट्रस्टस्टोर में आयात किया जाना चाहिए:

keytool -import -alias gridserver -file gridserver.crt -storepass $ PASS -keystore gridserver.keystore

इन गुणों को सेट करने की आवश्यकता है (या तो कमांडलाइन पर, या कोड में):

-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.keyStore=clientcertificate.p12
-Djavax.net.ssl.trustStore=gridserver.keystore
-Djavax.net.debug=ssl # very verbose debug
-Djavax.net.ssl.keyStorePassword=$PASS
-Djavax.net.ssl.trustStorePassword=$PASS

कार्य उदाहरण कोड:

SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://gridserver:3049/cgi-bin/ls.py");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
InputStreamReader inputstreamreader = new InputStreamReader(inputstream);
BufferedReader bufferedreader = new BufferedReader(inputstreamreader);

String string = null;
while ((string = bufferedreader.readLine()) != null) {
    System.out.println("Received " + string);
}

अनुशंसित नहीं होने पर, आप SSL प्रमाणपत्र सत्यापन को पूरी तरह से अक्षम कर सकते हैं:

import javax.net.ssl.*;
import java.security.SecureRandom;
import java.security.cert.X509Certificate;

public class SSLTool {

  public static void disableCertificateValidation() {
    // Create a trust manager that does not validate certificate chains
    TrustManager[] trustAllCerts = new TrustManager[] { 
      new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() { 
          return new X509Certificate[0]; 
        }
        public void checkClientTrusted(X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(X509Certificate[] certs, String authType) {}
    }};

    // Ignore differences between given hostname and certificate hostname
    HostnameVerifier hv = new HostnameVerifier() {
      public boolean verify(String hostname, SSLSession session) { return true; }
    };

    // Install the all-trusting trust manager
    try {
      SSLContext sc = SSLContext.getInstance("SSL");
      sc.init(null, trustAllCerts, new SecureRandom());
      HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
      HttpsURLConnection.setDefaultHostnameVerifier(hv);
    } catch (Exception e) {}
  }
}

क्या आपने KeyStore और / या TrustStore सिस्टम गुण सेट किए हैं?

java -Djavax.net.ssl.keyStore=pathToKeystore -Djavax.net.ssl.keyStorePassword=123456

या कोड के साथ

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

Javax.net.ssl.trustStore के साथ भी

यदि आप एक्सिस फ्रेमवर्क का उपयोग कर एक वेब सेवा कॉल के साथ काम कर रहे हैं, तो बहुत सरल उत्तर है। यदि सभी चाहते हैं कि आपके ग्राहक एसएसएल वेब सेवा को कॉल करने में सक्षम हों और एसएसएल प्रमाणपत्र त्रुटियों को अनदेखा करें, तो बस किसी भी वेब सेवाओं को लागू करने से पहले यह विवरण दें:

System.setProperty("axis.socketSecureFactory", "org.apache.axis.components.net.SunFakeTrustSocketFactory");

सामान्य रूप से इस बारे में अस्वीकरण एक उत्पादन वातावरण में करने के लिए एक बहुत खराब बात है।

मुझे यह एक्सिस विकी में मिला ।

मेरे लिए, यह अपाचे HttpCompords ~ HttpClient 4.x का उपयोग करके काम किया है:

    KeyStore keyStore  = KeyStore.getInstance("PKCS12");
    FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
    try {
        keyStore.load(instream, "helloworld".toCharArray());
    } finally {
        instream.close();
    }

    // Trust own CA and all self-signed certs
    SSLContext sslcontext = SSLContexts.custom()
        .loadKeyMaterial(keyStore, "helloworld".toCharArray())
        //.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //custom trust store
        .build();
    // Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslcontext,
        new String[] { "TLSv1" },
        null,
        SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //TODO
    CloseableHttpClient httpclient = HttpClients.custom()
        .setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //TODO
        .setSSLSocketFactory(sslsf)
        .build();
    try {

        HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }

P12 फ़ाइल में क्लाइंट प्रमाणपत्र और क्लाइंट निजी कुंजी है, जिसे BouncyCastle के साथ बनाया गया है:

public static byte[] convertPEMToPKCS12(final String keyFile, final String cerFile,
    final String password)
    throws IOException, CertificateException, KeyStoreException, NoSuchAlgorithmException,
    NoSuchProviderException
{
    // Get the private key
    FileReader reader = new FileReader(keyFile);

    PEMParser pem = new PEMParser(reader);
    PEMKeyPair pemKeyPair = ((PEMKeyPair)pem.readObject());
    JcaPEMKeyConverter jcaPEMKeyConverter = new JcaPEMKeyConverter().setProvider("BC");
    KeyPair keyPair = jcaPEMKeyConverter.getKeyPair(pemKeyPair);

    PrivateKey key = keyPair.getPrivate();

    pem.close();
    reader.close();

    // Get the certificate
    reader = new FileReader(cerFile);
    pem = new PEMParser(reader);

    X509CertificateHolder certHolder = (X509CertificateHolder) pem.readObject();
    java.security.cert.Certificate x509Certificate =
        new JcaX509CertificateConverter().setProvider("BC")
            .getCertificate(certHolder);

    pem.close();
    reader.close();

    // Put them into a PKCS12 keystore and write it to a byte[]
    ByteArrayOutputStream bos = new ByteArrayOutputStream();
    KeyStore ks = KeyStore.getInstance("PKCS12", "BC");
    ks.load(null);
    ks.setKeyEntry("key-alias", (Key) key, password.toCharArray(),
        new java.security.cert.Certificate[]{x509Certificate});
    ks.store(bos, password.toCharArray());
    bos.close();
    return bos.toByteArray();
}

मैं अपने वर्तमान प्रोजेक्ट में ऐसा करने के लिए अपाचे कॉमन्स HTTP क्लाइंट पैकेज का उपयोग करता हूं और यह एसएसएल और एक स्व-हस्ताक्षरित प्रमाण पत्र के साथ ठीक काम करता है (इसे आपके द्वारा बताए गए कैचर में इंस्टॉल करने के बाद)। कृपया इसे यहाँ देखें:

http://hc.apache.org/httpclient-3.x/tutorial.html

http://hc.apache.org/httpclient-3.x/sslguide.html

मुझे लगता है कि आपके पास अपने सर्वर प्रमाणपत्र के साथ एक मुद्दा है, एक वैध प्रमाण पत्र नहीं है (मुझे लगता है कि इस मामले में "हैंडशेक_फेल्योर" का मतलब है):

क्लाइंट के JRE पर अपने ट्रस्ट सर्किल में अपने सर्वर प्रमाणपत्र को आयात करें। यह आसानी से कीटल के साथ किया जाता है :

keytool
    -import
    -alias <provide_an_alias>
    -file <certificate_file>
    -keystore <your_path_to_jre>/lib/security/cacerts

नीचे दिए गए कोड का उपयोग करना

-Djavax.net.ssl.keyStoreType=pkcs12

या

System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);

आवश्यक नहीं है। इसके अलावा अपने खुद के कस्टम एसएसएल कारखाने बनाने की कोई जरूरत नहीं है।

मुझे भी इसी मुद्दे का सामना करना पड़ा, मेरे मामले में एक मुद्दा यह था कि पूर्ण प्रमाणपत्र श्रृंखला को ट्रस्टस्टोर्स में आयात नहीं किया गया था। Keytool उपयोगिता सही fom रूट प्रमाणपत्र का उपयोग करके आयात प्रमाण पत्र, आप नोटपैड में कैसर्ट फ़ाइल भी खोल सकते हैं और देख सकते हैं कि पूर्ण प्रमाण पत्र श्रृंखला आयात की गई है या नहीं। प्रमाण पत्र आयात करते समय आपके द्वारा दिए गए उपनाम नाम के खिलाफ जांच करें, प्रमाण पत्र खोलें और देखें कि इसमें कितने हैं, उसी संख्या के प्रमाण पत्र कैसर्ट फ़ाइल में होने चाहिए।

साथ ही कैसैटर फ़ाइल को आपके द्वारा चलाए जा रहे सर्वर में कॉन्फ़िगर किया जाना चाहिए, दो सर्वर सार्वजनिक / निजी कुंजी के साथ एक दूसरे को प्रमाणित करेंगे।