Java HTTPS / SSLを介したクライアント証明書
Java 6を使用しており、クライアント証明書を使用して、リモートサーバーに対してHttpsURLConnectionを作成しようとしています。
サーバーは自己署名ルート証明書を使用しており、パスワードで保護されたクライアント証明書が提示されている必要があります。 /System/Library/Frameworks/JavaVM.framework/Versions/1.6.0/Home/lib/security/cacerts(OSX 10.5)で見つけたデフォルトのJavaキーストアにサーバールート証明書とクライアント証明書を追加しました。キーストアファイルの名前は、クライアント証明書がそこに入れられないことを示唆しているようですか?
とにかく、このストアにルート証明書を追加すると、悪名高いjavax.net.ssl.SSLHandshakeException: Sun.security.validator.ValidatorException: PKIX path building failed' problem.が解決されました
ただし、クライアント証明書の使用方法にこだわっています。私は2つのアプローチを試しましたが、どちらも私をどこにも連れて行きません。
最初に、優先的に、試してください:
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://somehost.dk:3049");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
// The last line fails, and gives:
// javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
HttpsURLConnectionクラスをスキップしてみました(サーバーとHTTPをやりたいので理想的ではありません)、代わりにこれを行います:
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket = (SSLSocket) sslsocketfactory.createSocket("somehost.dk", 3049);
InputStream inputstream = sslsocket.getInputStream();
// do anything with the inputstream results in:
// Java.net.SocketTimeoutException: Read timed out
ここでは、クライアント証明書が問題であるかどうかさえわかりません。
最後にそれを解決しました;)。強力なヒントを得ました ここ (ガンダルフの回答も少し触れました)。欠落しているリンクは(主に)以下のパラメーターの最初のものであり、ある程度、キーストアとトラストストアの違いを見落としていました。
自己署名サーバー証明書をトラストストアにインポートする必要があります。
keytool -import -alias gridserver -file gridserver.crt -storepass $ PASS -keystore gridserver.keystore
これらのプロパティを設定する必要があります(コマンドラインまたはコードで):
-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.keyStore=clientcertificate.p12
-Djavax.net.ssl.trustStore=gridserver.keystore
-Djavax.net.debug=ssl # very verbose debug
-Djavax.net.ssl.keyStorePassword=$PASS
-Djavax.net.ssl.trustStorePassword=$PASS
作業例のコード:
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
URL url = new URL("https://gridserver:3049/cgi-bin/ls.py");
HttpsURLConnection conn = (HttpsURLConnection)url.openConnection();
conn.setSSLSocketFactory(sslsocketfactory);
InputStream inputstream = conn.getInputStream();
InputStreamReader inputstreamreader = new InputStreamReader(inputstream);
BufferedReader bufferedreader = new BufferedReader(inputstreamreader);
String string = null;
while ((string = bufferedreader.readLine()) != null) {
System.out.println("Received " + string);
}
推奨されていませんが、SSL証明書の検証をすべて無効にすることもできます。
import javax.net.ssl.*;
import Java.security.SecureRandom;
import Java.security.cert.X509Certificate;
public class SSLTool {
public static void disableCertificateValidation() {
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {
new X509TrustManager() {
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {}
public void checkServerTrusted(X509Certificate[] certs, String authType) {}
}};
// Ignore differences between given hostname and certificate hostname
HostnameVerifier hv = new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) { return true; }
};
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
HttpsURLConnection.setDefaultHostnameVerifier(hv);
} catch (Exception e) {}
}
}
KeyStoreおよび/またはTrustStore Systemプロパティを設定しましたか?
Java -Djavax.net.ssl.keyStore=pathToKeystore -Djavax.net.ssl.keyStorePassword=123456
またはコードから
System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);
Javax.net.ssl.trustStoreと同じ
Axisフレームワークを使用してWebサービス呼び出しを処理している場合、はるかに簡単な答えがあります。クライアントがSSL Webサービスを呼び出してSSL証明書エラーを無視できるようにしたい場合は、Webサービスを呼び出す前に次のステートメントを入力してください。
System.setProperty("axis.socketSecureFactory", "org.Apache.axis.components.net.SunFakeTrustSocketFactory");
これが本番環境で行うのは非常に悪いことであるという通常の免責事項が適用されます。
これは Axis wiki で見つけました。
私にとって、これはApache HttpComponents〜HttpClient 4.xを使用して機能したものです。
KeyStore keyStore = KeyStore.getInstance("PKCS12");
FileInputStream instream = new FileInputStream(new File("client-p12-keystore.p12"));
try {
keyStore.load(instream, "helloworld".toCharArray());
} finally {
instream.close();
}
// Trust own CA and all self-signed certs
SSLContext sslcontext = SSLContexts.custom()
.loadKeyMaterial(keyStore, "helloworld".toCharArray())
//.loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()) //custom trust store
.build();
// Allow TLSv1 protocol only
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
sslcontext,
new String[] { "TLSv1" },
null,
SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //TODO
CloseableHttpClient httpclient = HttpClients.custom()
.setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER) //TODO
.setSSLSocketFactory(sslsf)
.build();
try {
HttpGet httpget = new HttpGet("https://localhost:8443/secure/index");
System.out.println("executing request" + httpget.getRequestLine());
CloseableHttpResponse response = httpclient.execute(httpget);
try {
HttpEntity entity = response.getEntity();
System.out.println("----------------------------------------");
System.out.println(response.getStatusLine());
if (entity != null) {
System.out.println("Response content length: " + entity.getContentLength());
}
EntityUtils.consume(entity);
} finally {
response.close();
}
} finally {
httpclient.close();
}
P12ファイルには、BouncyCastleで作成されたクライアント証明書とクライアント秘密鍵が含まれています。
public static byte[] convertPEMToPKCS12(final String keyFile, final String cerFile,
final String password)
throws IOException, CertificateException, KeyStoreException, NoSuchAlgorithmException,
NoSuchProviderException
{
// Get the private key
FileReader reader = new FileReader(keyFile);
PEMParser pem = new PEMParser(reader);
PEMKeyPair pemKeyPair = ((PEMKeyPair)pem.readObject());
JcaPEMKeyConverter jcaPEMKeyConverter = new JcaPEMKeyConverter().setProvider("BC");
KeyPair keyPair = jcaPEMKeyConverter.getKeyPair(pemKeyPair);
PrivateKey key = keyPair.getPrivate();
pem.close();
reader.close();
// Get the certificate
reader = new FileReader(cerFile);
pem = new PEMParser(reader);
X509CertificateHolder certHolder = (X509CertificateHolder) pem.readObject();
Java.security.cert.Certificate x509Certificate =
new JcaX509CertificateConverter().setProvider("BC")
.getCertificate(certHolder);
pem.close();
reader.close();
// Put them into a PKCS12 keystore and write it to a byte[]
ByteArrayOutputStream bos = new ByteArrayOutputStream();
KeyStore ks = KeyStore.getInstance("PKCS12", "BC");
ks.load(null);
ks.setKeyEntry("key-alias", (Key) key, password.toCharArray(),
new Java.security.cert.Certificate[]{x509Certificate});
ks.store(bos, password.toCharArray());
bos.close();
return bos.toByteArray();
}
私は現在のプロジェクトでこれを行うためにApache commons HTTP Clientパッケージを使用し、SSLと自己署名証明書でうまく動作します(あなたが述べたようにcacertsにインストールした後)。こちらでご覧ください:
サーバー証明書に問題があると思いますが、これは有効な証明書ではありません(この場合、これが "handshake_failure"の意味だと思います)。
サーバー証明書をクライアントのJREのtrustcacertsキーストアにインポートします。これは keytool で簡単に行えます:
keytool
-import
-alias <provide_an_alias>
-file <certificate_file>
-keystore <your_path_to_jre>/lib/security/cacerts
以下のコードを使用する
-Djavax.net.ssl.keyStoreType=pkcs12
または
System.setProperty("javax.net.ssl.keyStore", pathToKeyStore);
まったく必要ありません。また、独自のカスタムSSLファクトリを作成する必要もありません。
私も同じ問題に遭遇しました。私の場合、完全な証明書チェーンがトラストストアにインポートされないという問題がありました。キーツールユーティリティを使用して証明書をインポートします。ルート証明書は、メモ帳でcacertsファイルを開いて、完全な証明書チェーンがインポートされたかどうかを確認することもできます。証明書のインポート中に指定したエイリアス名と照合し、証明書を開いて証明書の数を確認します。同じ数の証明書がcacertsファイルにあるはずです。
また、アプリケーションを実行しているサーバーでcacertsファイルを構成する必要があります。2つのサーバーは、公開鍵/秘密鍵で相互に認証します。