ColdFusion CFHTTP-I/O-Ausnahme: peer-nicht authentifiziert - auch nach dem hinzufügen to Keystore CERT

Derzeit arbeite ich mit einer Zahlung Prozessor. Ich kann surfen, um die payment-URL von unserem server, es ist also kein firewall-Problem, aber wenn ich versuche, mit CFHTTP ich bekomme einen I/O-Ausnahme: peer nicht authentifiziert. Ich habe heruntergeladen und installiert die neuesten Sicherheits-cert in keystore cacerts und neu gestartet, CF und bin noch immer der gleiche Fehler. Nicht nur habe ich installiert der Anbieter cert, aber auch die 2 anderen Verisign-Zertifizierungsstelle Zertifikate in der Zertifikatkette. Das cert ist eine der neueren Class 3 Extended Validation-Zertifikate.

Hat jemand über diesen vor und gefunden eine Lösung?

InformationsquelleAutor Barry Jordan | 2009-10-23
  1. 9

    Ein Kollege von mir gefunden, nach dem das gleiche Problem Auftritt, wenn eine Verbindung zu einem 3rd-party.

    http://www.coldfusionjedi.com/index.cfm/2011/1/12/Diagnosing-a-CFHTTP-issue--peer-not-authenticated

    https://www.raymondcamden.com/2011/01/12/Diagnosing-a-CFHTTP-issue-peer-not-authenticated/

    Verwendeten wir die Lösung in den Kommentar von Pete Freitag weiter unten auf der Seite. Es funktioniert, aber ich denke, dass sollte mit Vorsicht verwendet werden, da es sich um dynamisch das entfernen und hinzufügen zurück in einer bestimmten Eigenschaft der JsafeJCE Anbieter.

    Gründen der Archivierung, hier ist der original-Inhalt von Pete Freitag ' s Kommentar:

    Ich habe verengt diese ein wenig nach unten weiter, und entfernen des
    KeyAgreement.DiffieHellman aus dem RSA JsafeJCE Anbieter (die
    bewirkt, dass die Standard-sun-Implementierung, um stattdessen verwendet werden) Nähte
    Arbeit, und hat wahrscheinlich weniger Auswirkungen auf Ihren server als die Beseitigung
    der gesamte Anbieter. Hier ist, wie Sie es tun:

    <cfset objSecurity = createObject("java", "java.security.Security") />
<cfset storeProvider = objSecurity.getProvider("JsafeJCE") />
<cfset dhKeyAgreement = storeProvider.getProperty("KeyAgreement.DiffieHellman")>
<!--- dhKeyAgreement=com.rsa.jsafe.provider.JSA_DHKeyAgree --->
<cfset storeProvider.remove("KeyAgreement.DiffieHellman")>

Do your http call, but pack the key agreement if you want:

<cfset storeProvider.put("KeyAgreement.DiffieHellman", dhKeyAgreement)>

    Ich dachte, dies aus, indem Sie die SSLSocketFactory zum erstellen eines https
    Verbindung, die ein bisschen mehr details in der stack-trace, als
    bei der Verwendung von cfhttp:

    yadayadayada Caused by: java.security.InvalidKeyException: Cannot
build a secret key of algorithm TlsPremasterSecret at
com.rsa.jsafe.provider.JS_KeyAgree.engineGenerateSecret(Unknown
Source) at javax.crypto.KeyAgreement.generateSecret(DashoA13*..) at
com.sun.net.ssl.internal.ssl.DHCrypt.getAgreedSecret(DHCrypt.java:166)

    Wäre toll, wenn die geworfene Ausnahme von ColdFusion war ein bisschen weniger
    generic.

    • Hey Barry, ein wenig verwirrt. Hier du hast gesagt, du benutzt den workaround vorgeschlagen von Pete Freitag, aber in dem Kommentar über dir gesagt, dass du "landete mit der CFX_HTTP5" custom-tag. Was war Ihre Lösung am Ende?
    InformationsquelleAutor Barry Jordan
  2. 3

    Haben Sie es hinzufügen, um die richtige keystore? Denken Sie daran, dass ColdFusion verwendet es ist eigene Java-Instanz. Ich verbrachte mehrere Stunden auf dieser einmal, bevor die Erinnerung an diese Tatsache. Die, die Sie wollen, ist irgendwo wie /ColdFusion8/runtime/jre/lib/security/

    • Hi Ryber, das ist, wo ich Sie Hinzugefügt.Ich habe Hinzugefügt, andere vor diesem und es ' s immer geklappt. Danke.
    • Vielleicht sind Sie fehlen eines der Zertifikate der Kette, und Java ist beschweren, denn es kann nicht die Authentizität der Unterzeichner(s) ?
    • Hi Sechzehn Otto, ich habe installiert alle 3 Zertifikate in der Kette ist, funktioniert es immer noch nicht!
    InformationsquelleAutor ryber
  3. 3

    bestimmte coldfusion 8 mit einem webserver mit modernen ssl Verschlüsselungen:

    Ich mit coldfusion 8 auf JDK 1.6.45 und hatte Probleme, dass ich nur rote Kreuze statt Bildern, und auch mit cfhttp nicht in der Lage, eine Verbindung zum lokalen webserver mit ssl.

    mein test-script zu reproduzieren mit coldfusion 8 wurde

    <CFHTTP URL="https://www.onlineumfragen.com" METHOD="get" ></CFHTTP>
<CFDUMP VAR="#CFHTTP#">

    dies gab mir die ziemlich Allgemeine Fehlermeldung " I/O Exception: peer nicht authentifiziert."
    Ich habe dann versucht, hinzufügen von Zertifikaten der server mit root-und intermediate-Zertifikate für den java-keystore und auch die coldfusion-keystore, aber nichts half.
    dann habe ich ausgetestet, das problem mit

    java SSLPoke www.onlineumfragen.com 443

    und bekam

    javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair

    und

    Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be
multiple of 64, and can only range from 512 to 1024 (inclusive)
    at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..)
    at java.security.KeyPairGenerator$Delegate.initialize(KeyPairGenerator.java:627)
    at com.sun.net.ssl.internal.ssl.DHCrypt.<init>(DHCrypt.java:107)
    ... 10 more

    Hatte ich dann die Idee, dass der webserver (apache in meinem Fall) hatte sehr moderne Chiffren für die ssl-und die ist ziemlich restriktiv (qualys-score a+) und verwendet eine starke diffie hellmann Schlüssel mit mehr als 1024 bit. offensichtlich, coldfusion und java jdk 1.6.45 kann nicht gelingen.
    Der nächste Schritt in der odysee war, zu denken, die Installation eines alternativen security-Anbieter für java, und ich entschied mich für die Hüpfburg.
    siehe auch http://www.itcsolutions.eu/2011/08/22/how-to-use-bouncy-castle-cryptographic-api-in-netbeans-or-eclipse-for-java-jse-projects/

    Ich dann heruntergeladen, die 

    bcprov-ext-jdk15on-156.jar

    vom http://www.bouncycastle.org/latest_releases.html und installiert es unter
    C:\jdk6_45\jre\lib\ext oder wo immer das jdk ist in der ursprünglichen Installation von coldfusion 8 unter C:\JRun4\jre\lib\ext aber ich benutze ein neueres jdk (1.6.45), die sich außerhalb der coldfusion-Verzeichnis. es ist sehr wichtig, um die bcprov-ext-jdk15on-156.jar in der \ext-Verzeichnis (dies kostete mich etwa zwei Stunden und ein paar Haare 😉
    dann habe ich die Datei bearbeitet C:\jdk6_45\jre\lib\security\java.security (mit wordpad nicht mit editor.exe!) und setzen Sie in eine Zeile für den neuen Anbieter. danach wird die Liste sah wie

    #
# List of providers and their preference orders (see above):
#
security.provider.1=org.bouncycastle.jce.provider.BouncyCastleProvider
security.provider.2=sun.security.provider.Sun
security.provider.3=sun.security.rsa.SunRsaSign
security.provider.4=com.sun.net.ssl.internal.ssl.Provider
security.provider.5=com.sun.crypto.provider.SunJCE
security.provider.6=sun.security.jgss.SunProvider
security.provider.7=com.sun.security.sasl.Provider
security.provider.8=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.9=sun.security.smartcardio.SunPCSC
security.provider.10=sun.security.mscapi.SunMSCAPI

    (siehe die neuen in position 1)

    dann starten Sie den coldfusion-Dienst vollständig.
    Sie können dann 

    java SSLPoke www.onlineumfragen.com 443 (or of course your url!)

    und genießen Sie das Gefühl...
    und natürlich

    was für eine Nacht und was für ein Tag. Hoffentlich wird dies helfen, die (teilweise oder vollständig), um jemand da draußen. wenn Sie Fragen haben, mailen Sie mir einfach an info ... (domain siehe oben).

    InformationsquelleAutor Raffael Meier
  4. 2

    Versuchen Sie es mit diesem in CMD

    C:\ColdFusion9\runtime\jre\bin>
    keytool-import -keystore ../lib/security/cacerts
    -alias uniquename -Datei certificatename.cer

    Hinweis: Wir müssen wählen Sie die richtigen keystore vorhanden innerhalb des security-Ordner,da gibt es andere keystore-Datei, die sich im inneren bin.Wenn wir importieren das Zertifikat für diesen Schlüssel speichert, wird es nicht funktionieren.

    InformationsquelleAutor Deepak Kumar Padhy
  5. 0

    Was ich gerade herausgefunden, auf die verwiesen wurde zu diesem Artikel: http://kb2.adobe.com/cps/400/kb400977.html und ein paar andere Orte, nach viel Graben.

    Wenn Sie auf der Suche an diesem Artikel, haben Sie wahrscheinlich eingefügt deinen "server.crt" Zertifikat in der richtigen root-Standorten, und Sie haben wahrscheinlich steckt es in die cacerts Datei in /ColdFusion9/runtime/jre/lib/security mit dem Befehl

    \ColdFusion9\runtime\jre\bin\keytool -import -v -alias someServer-cert -file someServerCertFile.crt -keystore cacerts -storepass changeit

    (wenn Sie dies getan haben, tun Sie es jetzt).
    Die Sache, die ich lief in war, ich bin einrichten von ssl auf meinem localhost so, nachdem Sie diese Schritte war ich noch immer den gleichen Fehler.

    Als es stellt sich heraus, müssen Sie auch fügen Sie Ihre "server.crt" in der "trustStore" - Datei normalerweise in /ColdFusion9/runtime/jre/lib mit dem Befehl

    \ColdFusion9\runtime\jre\bin\keytool -import -v -alias someServer-cert -file someServerCertFile.cer -keystore trustStore -storepass changeit

    Hoffentlich wird jemand retten Zeit.

    InformationsquelleAutor JimP
  6. 0

    Ich bin mit JRun. Nachdem versucht, eine Menge verschiedener Dinge, die ich stieß auf einen Ausschnitt der Informationen, die anwendbar war in meinem setup. Ich hatte konfiguriert, ein (1)HTTPS SSLService mit meinen eigenen truststore-Datei. Dies führte zu der information, die in den folgenden link, um sich wichtig.

    http://helpx.adobe.com/coldfusion/kb/import-certificates-certificate-stores-coldfusion.html

    Hinweis: Wenn Sie JRun als die zugrunde liegende J2EE-server (entweder
    Server-Konfiguration oder der Server/J2EE mit JRun-Konfiguration)
    und SSL aktiviert haben für die internen JRun Web server (JWS), Sie
    müssen, importieren Sie das Zertifikat in der truststore definiert
    jrun.xml-Datei, die für die Sichere Zeugen Jehovas statt den JRE-Schlüsselspeicher. Durch
    standardmäßig heißt die Datei "trustStore" und befindet sich normalerweise
    unter jrun_root/lib für die Multiserver - /J2EE mit JRun-Konfiguration
    oder cf_root/runtime/lib für den ColdFusion-Server-Konfiguration. Sie
    verwenden Sie das Java-keytool zum verwalten der trustStore.

    Hier der Auszug aus meiner jrun.xml Datei:

    <service class="jrun.servlet.http.SSLService" name="SSLService">
  <attribute name="port">8301</attribute>
  <attribute name="keyStore">/app/jrun4/cert/cfusion.jks</attribute>
  <attribute name="trustStore">/app/jrun4/cert/truststore.jks</attribute>
  <attribute name="name">SSLService</attribute>
  <attribute name="bindAddress">*</attribute>
  <attribute name="socketFactoryName">jrun.servlet.http.JRunSSLServerSocketFactory</attribute>
  <attribute name="interface">*</attribute>
  <attribute name="keyStorePassword">cfadmin</attribute>
  <attribute name="deactivated">false</attribute>
</service>

    Sobald ich das Zertifikat importiert in diesem truststore (/app/jrun4/cert/truststore.jks) funktionierte es nach dem Neustart ColdFusion.

    (1) http://helpx.adobe.com/legacy/kb/ssl-jrun-web-server-connector.html

    InformationsquelleAutor leonardseymore
  7. 0

    Hinzufügen das Zertifikat zu der keystore nicht für mich auf CF9 Unternehmen.

    Landeten mit dem CFX-tag, CFX_HTTP5.

    InformationsquelleAutor Tyler
Schreibe einen Kommentar