Keine Verbindung mit SSL-webservice mit cxf http-conduit

Ich versuche, eine Verbindung zu einem SOAP-webservice und ein cert für die Authentifizierung. Ich bin derzeit mit dem cxf http-Kanal zu finden Sie mein Zertifikat. Ich erhielt eine p12-Datei aus dem service, die ich bin, zu wollen, zu nennen. Ich habe den Import des p12 in einen jks. Ich legte die jks in den class-path zusammen mit meiner cxf.xml Seite. Ich habe meine modifizierten web.xml enthalten die context-param und die listener-Klasse, aber ich bin noch immer logs von dem server sagen kein Zertifikat zur Verfügung gestellt. Ich habe überall gesucht nach Lösungen aber nichts hat geklappt so weit. Jede Hilfe wird sehr geschätzt

CXF.XML

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:sec="http://cxf.apache.org/configuration/security"
       xmlns:http="http://cxf.apache.org/transports/http/configuration"
       xmlns:jaxws="http://java.sun.com/xml/ns/jaxws"
       xsi:schemaLocation="
      http://cxf.apache.org/configuration/security
      http://cxf.apache.org/schemas/configuration/security.xsd
      http://cxf.apache.org/transports/http/configuration
      http://cxf.apache.org/schemas/configuration/http-conf.xsd
      http://www.springframework.org/schema/beans
      http://www.springframework.org/schema/beans/spring-beans-2.0.xsd">

    <http:conduit name="*.http-conduit">

        <http:tlsClientParameters>
            <sec:keyManagers keyPassword="changeit">
                <sec:keyStore type="JKS" password="changeit"
                              resource="myKeystore.jks"
                             />
            </sec:keyManagers>
            <sec:trustManagers>
                <sec:keyStore type="JKS" password="changeit"
                              resource="myKeystore.jks"/>
            </sec:trustManagers>
            <sec:cipherSuitesFilter>
                <!-- these filters ensure that a ciphersuite with
                     export-suitable or null encryption is used,
                     but exclude anonymous Diffie-Hellman key change as
                     this is vulnerable to man-in-the-middle attacks -->
                <sec:include>.*_EXPORT_.*</sec:include>
                <sec:include>.*_EXPORT1024_.*</sec:include>
                <sec:include>.*_WITH_DES_.*</sec:include>
                <sec:include>.*_WITH_AES_.*</sec:include>
                <sec:include>.*_WITH_NULL_.*</sec:include>
                <sec:exclude>.*_DH_anon_.*</sec:exclude>
            </sec:cipherSuitesFilter>
        </http:tlsClientParameters>

        <http:client AutoRedirect="true" Connection="Keep-Alive"/>

    </http:conduit>

</beans>

WEB.XML

     <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:cxf.xml</param-value>
    </context-param>
     <listener>
     <listener-class>
        org.springframework.web.context.ContextLoaderListener
     </listener-class>
  </listener>
InformationsquelleAutor franzke | 2014-06-04
  1. 3

    Stimme ich mit @hooknc letzten Kommentar. Stellen Sie sicher, dass Ihr keystore enthält den privaten Schlüssel Eintrag. Stellen Sie auch privatekey Passwort gleich keystore-Kennwort einzugeben. Sie können testen Sie Ihr service mit dem unten aufgeführten code. Ich schrieb es für cxf-version 3.0.0-milestone2, da brauche ich mehrere Signaturen, aber ich denke, der code sollte funktionieren, auch mit stabilen Zweig 2.x

    private PaymentService_Service service = null;
private PaymentService iface = null;

@Before
public void setUp() throws Exception {
    System.setProperty("com.sun.xml.ws.transport.http.client.HttpTransportPipe.dump", "true");
    System.setProperty("javax.net.debug", "ssl");
    service = new PaymentService_Service();
    iface = service.getPaymentServiceImplPort();
    Client client = ClientProxy.getClient(iface);
    HTTPConduit http = (HTTPConduit) client.getConduit();
    TLSClientParameters parameters = new TLSClientParameters();
    parameters.setSSLSocketFactory(createSSLContext().getSocketFactory());
    http.setTlsClientParameters(parameters);
    HTTPClientPolicy httpClientPolicy = new HTTPClientPolicy();
    httpClientPolicy.setConnectionTimeout(36000);
    httpClientPolicy.setAllowChunking(false);
    httpClientPolicy.setReceiveTimeout(32000);
    http.setClient(httpClientPolicy);
}

private SSLContext createSSLContext() throws Exception{
    KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
    trustStore.load(new FileInputStream("/home/user/dev/project/key/http.jks"), "changeit".toCharArray());

    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(new FileInputStream("/home/user/dev/project/key/client.jks"), "changeit".toCharArray());


    TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
    tmf.init(trustStore);

    KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
    kmf.init(keyStore, "changeit".toCharArray());

    SSLContext sslContext = SSLContext.getInstance("SSL");
    sslContext.init(kmf.getKeyManagers() , tmf.getTrustManagers(), new SecureRandom());
    return sslContext;
}

@Test
public void testSomeMethod() throws Exception {
    Client client = ClientProxy.getClient(iface);
    client.getInInterceptors().add(new LoggingInInterceptor());
    client.getOutInterceptors().add(new LoggingOutInterceptor());
    String res = iface.doSomeMethod();
}
    • Vielen Dank, das hat funktioniert!
    InformationsquelleAutor user1516873
  2. 0

    Glaube ich nicht nur darum, die truststore - (jks) in der classpath wird so, wie Sie denken, es wird. Ich bin ziemlich zuversichtlich, dass Sie benötigen, rufen Sie unsere der truststore, die Sie verwenden möchten, über die vm-Optionen.

    Add-Djavax.net.ssl.trustStore={file_path_to_your_jks}, um Ihre Anwendung VM-Argumente. Möglicherweise müssen Sie auch zu verwenden -Djavax.net.ssl.trustStorePassword={your_jks_password}, wenn das default-Passwort 'changeit' nicht verwendet.

    • Wenn ich hinzufügen das Vertrauen cert zur cacerts in meiner jre, würde ich noch hinzufügen müssen das VM-argument?
    • Wenn Sie fügen Sie das neue Zertifikat auf der Standard-cacerts Sie würden nicht verlangen, daß der vm-argument, aber ich empfehle gegen diese Strategie. Wenn Sie fügen Sie das Zertifikat zu Ihrer Basis cacerts, dann werden alle java-Anwendungen, die auf Ihrem Computer Vertrauen können, dass neue Zertifikat. Die mag das nicht sehr schädlich, aber es ist einfach nicht super sicher. Auch, wenn Sie aktualisieren Sie Ihre java-version müssen Sie daran denken, neu zu installieren, das Zertifikat erneut. Aber dann wieder, wenn Sie aktualisieren Sie Ihre java-version ist, sollten Sie re-copy die cacerts-und re-importieren Sie die Zertifikate sowieso.
    • Ok, das macht Sinn. Muss ich dann den Pfad ändern müssen von den truststore in den http-Kanal in cxf.xml zu Punkt cacerts?
    • So, ich wusste nicht, was CXF war bis jetzt einfach, aber ein kurzer Blick auf Ihre Unterlagen, erklären Sie, wie zu definieren, ein truststore: cxf.apache.org/docs/...
    • Das ist das Dokument, das ich als Leitfaden verwendet
    • Verstanden. So, mein Mangel an Leseverständnis ist Schuld. Sorry. Gibt es eine Möglichkeit zum aktivieren der ssl-debugging (-Djavax.net.debug=ssl) mit cxf? Überprüfen Sie die folgenden: der server tatsächlich Die Anforderung eines client-Zertifikats, welche Zertifikate die der server akzeptiert werden (es wird eine Liste von Zertifizierungsstellen, die Sie akzeptieren, und schließlich, dass der richtige client-Zertifikat in den Schlüsselspeicher (keytool -list -v -keystore keystore.jks). Sorry, habe ich nicht Lesen Sie die Frage sorgfältig das erste mal.
    • Kein problem, das ist alles neu für mich. Ich lief die debug-ich kann sehen, wo es ist die Angabe, die trustStore-und der Lage, jedoch die Zeile "keystore ist:" oben ist leer, das macht mich denke, es ist nicht zu erkennen, das keystore-ich bin bietet.
    • Stellen Sie sicher, dass die keystore ist die AOK mit dem "keytool -list -v -keystore <your_keystore_name_here>" - Befehl. Andere Dinge zu versuchen: der vollständige Pfad zum keystore und truststore (statt nur-classpath). Es sieht aus wie Ihre keystore-und truststore-sind die gleiche Datei, das ist ok, aber ich in der Regel versuchen, zu halten die beiden zu trennen. Der keystore enthält Ihre client-Zertifikate während der truststore enthält Zertifikate und Zertifizierungsstellen, denen Sie Vertrauen.

    InformationsquelleAutor hooknc
Schreibe einen Kommentar