Angeben von Trust Store-Informationen in Spring Boot application.properties

Ich bin mit springBootVersion 1.2.0.RELEASE.
Ich bin versucht zu haben, meine keystore-und truststore-konfiguriert durch die Anwendung.Eigenschaften.

Wenn ich fügen Sie die folgenden Einstellungen, kann ich den keystore zu arbeiten, aber nicht den truststore.

server.ssl.key-store=classpath:foo.jks
server.ssl.key-store-password=password
server.ssl.key-password=password
server.ssl.trust-store=classpath:foo.jks
server.ssl.trust-store-password=password

Jedoch, wenn ich die truststore-obwohl

bootRun {
    jvmArgs = [ "-Djavax.net.ssl.trustStore=c://foo.jks", "-Djavax.net.ssl.trustStorePassword=password"]
}

funktioniert es Prima.

Hat jemand verwendet die Anwendung.Eigenschaften für den trust-stores?

InformationsquelleAutor der Frage user4408912 | 2014-12-31

Im Falle dass, wenn Sie brauchen, um einen REST-Aufruf können Sie der nächste Weg.

Das funktioniert für ausgehende Anrufe über RestTemplate.

Erklären RestTemplate Bohne wie diese.

@Configuration
public class SslConfiguration {
    @Value("${http.client.ssl.trust-store}")
    private Resource keyStore;
    @Value("${http.client.ssl.trust-store-password}")
    private String keyStorePassword;

    @Bean
    RestTemplate restTemplate() throws Exception {
        SSLContext sslContext = new SSLContextBuilder()
                .loadTrustMaterial(
                        keyStore.getURL(),
                        keyStorePassword.toCharArray()
                ).build();
        SSLConnectionSocketFactory socketFactory = 
                new SSLConnectionSocketFactory(sslContext);
        HttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(socketFactory).build();
        HttpComponentsClientHttpRequestFactory factory = 
                new HttpComponentsClientHttpRequestFactory(httpClient);
        return new RestTemplate(factory);
    }
}

Wo http.client.ssl.trust-store und http.client.ssl.trust-store-password Punkte zu truststore in JKS format und das Kennwort für den angegebenen truststore.

Dies überschreibt die RestTemplate bean mit Spring-Boot und machen es mit dem trust store, die Sie benötigen.

InformationsquelleAutor der Antwort Oleksandr Shpota

Ich habe das gleiche problem, ich werde versuchen zu erklären, es ein bisschen mehr im detail.

Bin ich mit spring-boot-1.2.2-RELEASE und versuchte es auf Tomcat und Sog mit dem gleichen Ergebnis.

Definition der trust-store-Anwendung.yml wie:

server:
  ssl:
    trust-store: path-to-truststore...
    trust-store-password: my-secret-password...

Nicht funktioniert, während:

$ java -Djavax.net.debug=ssl -Djavax.net.ssl.trustStore=path-to-truststore... -Djavax.net.ssl.trustStorePassword=my-secret-password... -jar build/libs/*.jar

funktioniert einwandfrei.

Der einfachste Weg, um den Unterschied zu sehen bei rutime ist zum aktivieren von ssl-debug-im-client. Bei der Arbeit (D. H. -D-flags) so etwas wie das folgende in die Konsole geschrieben wird (während der Bearbeitung der ersten Anfrage):

trustStore is: path-to-truststore...
trustStore type is : jks
trustStore provider is :
init truststore
adding as trusted cert:
  Subject: C=..., ST=..., O=..., OU=..., CN=...
  Issuer:  C=..., ST=..., O=..., OU=..., CN=...
  Algorithm: RSA; Serial number: 0x4d2
  Valid from Wed Oct 16 17:58:35 CEST 2013 until Tue Oct 11 17:58:35 CEST 2033

Ohne die -D-flags, den ich bekommen:

trustStore is: /Library/Java/JavaVirtualMachines/jdk1.8.0_11.jdk/Contents/Home/jre/lib/security/cacerts
trustStore type is : jks
trustStore provider is :
init truststore
adding as trusted cert: ... (one for each CA-cert in the defult truststore)

...und wenn der Durchführung einer Anfrage, bekomme ich die exception:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Hoffe es hilft zu verstehen, das Thema besser!

InformationsquelleAutor der Antwort Magnus Larsson

Ich hatte das gleiche problem mit Spring Boot, Spring Cloud (microservices) und ein selbst-signiertes SSL-Zertifikat. Keystore funktionierte out of the box von der Anwendung-Eigenschaften und Truststore nicht.

Landete ich halten beide keystore und trustore-Konfiguration in der Anwendung.Eigenschaften und das hinzufügen einer separaten Konfigurations-bean für die Konfiguration der truststore-Eigenschaften mit dem System.

@Configuration
public class SSLConfig {
    @Autowired
    private Environment env;

    @PostConstruct
    private void configureSSL() {
      //set to TLSv1.1 or TLSv1.2
      System.setProperty("https.protocols", "TLSv1.1");

      //load the 'javax.net.ssl.trustStore' and
      //'javax.net.ssl.trustStorePassword' from application.properties
      System.setProperty("javax.net.ssl.trustStore", env.getProperty("server.ssl.trust-store")); 
      System.setProperty("javax.net.ssl.trustStorePassword",env.getProperty("server.ssl.trust-store-password"));
    }
}

InformationsquelleAutor der Antwort Mate Šimović

War ich auch und habe das gleiche Problem mit Spring Boot-und embedded Tomcat.

Aus, was ich verstehe diese Eigenschaften stellen nur die Tomcat-Konfiguration Parameter. Nach der Tomcat-Dokumentation dies ist nur für die Client-Authentifizierung (D. H. für zwei-Wege-SSL) und nicht die für die überprüfung der remote-Zertifikate:

truststoreFile - Die trust store-Datei zu verwenden, um zu überprüfen client Zertifikate.

https://tomcat.apache.org/tomcat-8.0-doc/config/http.html

Zur Konfiguration des trust store für HttpClient es hängt weitgehend von der HttpClient-Implementierung, die Sie verwenden. Zum Beispiel für das RestTemplate von Standard-Spring-Boot verwendet eine SimpleClientHttpRequestFactory basierend auf standard-J2SE-Klassen wie java.net.HttpURLConnection.

Habe ich kommen mit einer Lösung auf Basis des Apache-HttpClient-docs und solche posts:
http://vincentdevillers.blogspot.pt/2013/02/configure-best-spring-resttemplate.html
http://literatejava.com/networks/ignore-ssl-certificate-errors-apache-httpclient-4-4/

Grundsätzlich dies ermöglicht eine RestTemplate bean, die nur vertraut Zertifikate von der root-CA in den konfigurierten truststore.

@Configuration
public class RestClientConfig {

    //e.g. Add http.client.ssl.trust-store=classpath:ssl/truststore.jks to application.properties
    @Value("${http.client.ssl.trust-store}")
    private Resource trustStore;

    @Value("${http.client.ssl.trust-store-password}")
    private char[] trustStorePassword;

    @Value("${http.client.maxPoolSize}")
    private Integer maxPoolSize;


    @Bean
    public ClientHttpRequestFactory httpRequestFactory() {
        return new HttpComponentsClientHttpRequestFactory(httpClient());
    }

    @Bean
    public HttpClient httpClient() {

        //Trust own CA and all child certs
        Registry<ConnectionSocketFactory> socketFactoryRegistry = null;
        try {
            SSLContext sslContext = SSLContexts
                    .custom()
                    .loadTrustMaterial(trustStore.getFile(),
                            trustStorePassword)
                    .build();

            //Since only our own certs are trusted, hostname verification is probably safe to bypass
            SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContext,
                    new HostnameVerifier() {

                        @Override
                        public boolean verify(final String hostname,
                                final SSLSession session) {
                            return true;
                        }
            });

            socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()
                    .register("http", PlainConnectionSocketFactory.getSocketFactory())
                    .register("https", sslSocketFactory)
                    .build();           

        } catch (Exception e) {
            //TODO: handle exceptions
            e.printStackTrace();
        }

        PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager(socketFactoryRegistry);
        connectionManager.setMaxTotal(maxPoolSize);
        //This client is for internal connections so only one route is expected
        connectionManager.setDefaultMaxPerRoute(maxPoolSize);
        return HttpClientBuilder.create()
                .setConnectionManager(connectionManager)
                .disableCookieManagement()
                .disableAuthCaching()
                .build();
    }

    @Bean
    public RestTemplate restTemplate() {
        RestTemplate restTemplate = new RestTemplate();
        restTemplate.setRequestFactory(httpRequestFactory());
        return restTemplate;
    }    
}

Und dann Sie können verwenden Sie diese benutzerdefinierten Rest-client, wenn Sie benötigen, z.B.:

@Autowired
private RestTemplate restTemplate;

restTemplate.getForEntity(...)

Diese nimmt an, dass Ihr Versuch, eine Verbindung zu einem Rest-Endpunkt, aber Sie können auch die oben HttpClient bean für das, was Sie wollen.

InformationsquelleAutor der Antwort jpt

Hier meine extended version von Oleksandr Shpota Antworteinschließlich der Einfuhren. Das Paket org.apache.http.* finden Sie in org.apache.httpcomponents:httpclient. Ich habe kommentiert die Veränderungen:

import org.apache.http.client.HttpClient;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.TrustSelfSignedStrategy;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.io.Resource;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.web.client.RestTemplate;

@Value("${http.client.ssl.key-store}")
private Resource keyStore;

@Value("${http.client.ssl.trust-store}")
private Resource trustStore;

//I use the same pw for both keystores:
@Value("${http.client.ssl.trust-store-password}")
private String keyStorePassword;

//wasn't able to provide this as a @Bean...:
private RestTemplate getRestTemplate() {
  try {
    SSLContext sslContext = SSLContexts.custom()
        //keystore wasn't within the question's scope, yet it might be handy:
        .loadKeyMaterial(
            keyStore.getFile(),
            keyStorePassword.toCharArray(),
            keyStorePassword.toCharArray())
        .loadTrustMaterial(
            trustStore.getURL(),
            keyStorePassword.toCharArray(),
            //use this for self-signed certificates only:
            new TrustSelfSignedStrategy())
        .build();

    HttpClient httpClient = HttpClients.custom()
        //use NoopHostnameVerifier with caution, see https://stackoverflow.com/a/22901289/3890673
        .setSSLSocketFactory(new SSLConnectionSocketFactory(sslContext, new NoopHostnameVerifier()))
        .build();

    return new RestTemplate(new HttpComponentsClientHttpRequestFactory(httpClient));
  } catch (IOException | GeneralSecurityException e) {
    throw new RuntimeException(e);
  }
}

InformationsquelleAutor der Antwort crusy

java-Eigenschaften "javax.net.ssl.trustStore" und "javax.net.ssl.trustStorePassword", entsprechen nicht der "server.ssl.trust-store" und "server.ssl.trust-store-password" von Spring boot "Anwendung.Eigenschaften" ("Anwendung.yml")

so können Sie nicht von "javax.net.ssl.trustStore" und "javax.net.ssl.trustStorePassword" einfach durch die Einstellung "server.ssl.trust-store" und "server.ssl.trust-store-password" in " - Anwendung.Eigenschaften" ("Anwendung.yml")

alternative der Einstellung "javax.net.ssl.trustStore" und "javax.net.ssl.trustStorePassword", die von Spring boot Externalisiert Konfiguration

unten sind Auszüge meiner Umsetzung :

Params-Klasse enthält die externe Einstellungen

@Component
@ConfigurationProperties("params")
public class Params{

    //default values, can be override by external settings
    public static String trustStorePath = "config/client-truststore.jks";
    public static String trustStorePassword = "wso2carbon";
    public static String keyStorePath = "config/wso2carbon.jks";
    public static String keyStorePassword = "wso2carbon";
    public static String defaultType = "JKS";

    public void setTrustStorePath(String trustStorePath){
        Params.trustStorePath = trustStorePath;
    }

    public void settrustStorePassword(String trustStorePassword){
        Params.trustStorePassword=trustStorePassword;
    }

    public void setKeyStorePath(String keyStorePath){
        Params.keyStorePath = keyStorePath;
    }

    public void setkeyStorePassword(String keyStorePassword){
        Params.keyStorePassword = keyStorePassword;
    }

    public void setDefaultType(String defaultType){
        Params.defaultType = defaultType;
    }

KeyStoreUtil Klasse verpflichtet sich, die Einstellungen von "javax.net.ssl.trustStore" und "javax.net.ssl.trustStorePassword"

public class KeyStoreUtil {

    public static void setTrustStoreParams() {
        File filePath = new File( Params.trustStorePath);
        String tsp = filePath.getAbsolutePath();
        System.setProperty("javax.net.ssl.trustStore", tsp);
        System.setProperty("javax.net.ssl.trustStorePassword", Params.trustStorePassword);
        System.setProperty("javax.net.ssl.keyStoreType", Params.defaultType);

    }

    public static void setKeyStoreParams() {
        File filePath = new File(Params.keyStorePath);
        String ksp = filePath.getAbsolutePath();
        System.setProperty("Security.KeyStore.Location", ksp);
        System.setProperty("Security.KeyStore.Password", Params.keyStorePassword);

    }     
}

erhalten Sie die Set-Methoden ausgeführt, die innerhalb der Start-Funktion

@SpringBootApplication
@ComponentScan("com.myapp.profiles")
public class ProfilesApplication {

    public static void main(String[] args) {
        KeyStoreUtil.setKeyStoreParams();
        KeyStoreUtil.setTrustStoreParams();
        SpringApplication.run(ProfilesApplication.class, args);
    }
}

Anwendung.yml

---
 params: 
   trustStorePath: config/client-truststore.jks
   trustStorePassword: wso2carbon
   keyStorePath: config/wso2carbon.jks
   keyStorePassword: wso2carbon
   defaultType: JKS
---

schließlich, innerhalb der Laufenden Umgebung(deployment server), erstellen Sie einen Ordner namens "config" unter dem gleichen Ordner, wo sich das jar-Archiv gespeichert .

in der "config" - Ordner, die Sie speichern " - Anwendung.yml", "client-truststore.jks" und "wso2carbon.jks". fertig!

InformationsquelleAutor der Antwort George Wang

0

Diese Frage auf Spring-boot - Gitter Seite:

InformationsquelleAutor der Antwort yeralin
0

Wenn Sie ausführen, Spring-Boot-Anwendung als linux-service (z.B. init.d script oder ähnliches), dann haben Sie die folgende option:
Erstellen Sie eine Datei namens yourApplication.conf und legen Sie es neben Ihrer ausführbaren Datei war/jar-Datei. Der Inhalt sollte etwas sein, das ähnlich:
```
JAVA_OPTS="
-Djavax.net.ssl.trustStore=path-to-your-trustStore-file
-Djavax.net.ssl.trustStorePassword=yourCrazyPassword
"
```
InformationsquelleAutor der Antwort SaWo
0

Ich weiß, das ist ziemlich alt, aber wenn jemand auf das, was ich Tat, war fügen Sie eine weitere Eigenschaft, um meine properties-Datei.
```
server.ssl.trust-store=classpath:truststore.jks
server.ssl.trust-store-password=${KEY_STORE_PASS}
server.ssl.client-auth=need
```
Also zuerst Sie erstellen Sie die trust store und legen Sie die Eigenschaften in der properties-Datei. Dann, nach diesefügen Sie server.ssl.client-auth=need um zu Kraft Feder nur für die Annahme von Anfragen Durchführung ein Zertifikat akzeptiert, von denen, in Ihren trust store.

Diese Methode mein Problem gelöst.

InformationsquelleAutor der Antwort Guy Grin
-4

In einer microservice-Infrastruktur (passt nicht das problem, ich weiß ;)) dürfen Sie nicht verwenden:
```
server:
  ssl:
    trust-store: path-to-truststore...
    trust-store-password: my-secret-password...
```
Anstelle der ribbon-load-Balancer kann configuered:
```
ribbon: 
  TrustStore: keystore.jks
  TrustStorePassword : example
  ReadTimeout: 60000
  IsSecure: true
  MaxAutoRetries: 1
```
Hier https://github.com/rajaramkushwaha/https-zuul-proxy-spring-boot-app finden Sie ein funktionierendes Beispiel. Es gab auch einen github-Diskussion, aber ich fand es nicht mehr.

InformationsquelleAutor der Antwort KLHauser

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.