我们一直在为我们的问题寻找一个星期的问题,在查看了很多类似的帖子后,在阅读了所有可用的文档之后,我们还没有找到解决方案。
我将解释我目前的情况,希望有人能帮助我们解决问题。
我们在JAX-WS中开发了一个Web服务客户端,它与另一个平台中的服务器端Web服务通信。通信是2路SSL,我们有服务器端的CA,信任他,我们的私有证书在服务器端识别。
我们的Web服务客户端部署在Weblogic 10.3中,当它打算调用服务器端Web服务时,我们在dinamically中加载信任库和仅加载一个证书的密钥库,因为每次我们将使用不同的证书,因此我们不能只使用静态密钥库。
问题是我们正在建立连接,协商握手,因为Weblogic忽略了我们在调用之前加载的信任库和密钥库,只查找Weblogic密钥库中的可信证书和私钥......
如果我们将可信证书放在Weblogic的信任库中并再次启动通信。我们开始握手,我们信任服务器端(因为现在Weblogic在其密钥库中找到CA),但是当我们的Web服务客户端必须发送证书以供服务器端信任时,“证书链”为空并且我们得到一个“BAD_CERTIFICATE”。
我们已尝试使用Apache CXF和JAX-WS,问题是相同的,使用系统属性和库设置密钥库...所以我们不知道为什么我们的Web服务客户端无法发送证书。似乎Weblogic不是因为某些原因而服务于他们,也许是Weblogic配置,但我们不知道。
如果有人知道我们能做什么,请告诉我们。
提前致谢。
答案 0 :(得分:0)
您的问题是客户端和服务器端的SSL配置。 SSL握手问题与您的Web服务配置无关:Web服务通过HTTP进行,并且是处理此问题的java HttpsURLConnection。
双向SSL握手需要:
客户端
代码:
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
}
public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
}
} };
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
}
checkURLSpoofing)的URL匹配,或在使用服务客户端之前关闭此验证设置代码:
// Create all-trusting host name verifier
HostnameVerifier allHostsValid = new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
};
// Install the all-trusting host verifier
HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
代码:
System.setProperty("javax.net.ssl.keyStore", "path/to/your/key");
System.setProperty("javax.net.ssl.keyStorePassword", "your-keystore-password");
System.setProperty("javax.net.ssl.keyStoreType", "JKS");
System.setProperty("javax.net.ssl.trustStore", "path/to/your/trust/keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "your-truststore-password");
System.setProperty("com.sun.net.ssl.dhKeyExchangeFix", "true");
服务器端
这应该可行,如果你遇到问题,添加堆栈跟踪(客户端和服务器)以查看发生了什么。
答案 1 :(得分:0)
请参阅SSL configuration for WebLogic Server,Configuring Two-Way SSL for a Client Application和Configure two-way SSL。
keytool -genkey -alias server-alias -keyalg RSA -keypass changeit_0 -storepass changeit_1 -keystore server_keystore.jks -validity 1825
keytool -export -alias server-alias -storepass changeit_1 -file server.cer -keystore server_keystore.jks
keytool -genkey -alias client-alias -keyalg RSA -keypass changeit_2 -storepass changeit_3 -keystore client_keystore.jks -validity 1825
keytool -export -alias client-alias -storepass changeit_3 -file client.cer -keystore client_keystore.jks
#WLHOME\server\lib\cacerts
keytool -import -v -trustcacerts -alias client-alias -file client.cer -keystore cacerts -keypass changeit_2 -storepass changeit
Server->Keystores
Keystores: Custom Identity and Custom Trust
Custom Identity Keystore: server_keystore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: changeit_1
Custom Trust Keystore: <WLHOME>\server\lib\cacerts
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: changeit
Server->General
SSL Listen Port Enabled: true
Server->SSL
Private Key Alias: server-alias
Private Key Passphrase: changeit_0
Hostname Verification: None
Use Server Certs: true
Two Way Client Cert Behavior: Client Certs Requested and Enforced
SSLRejection Logging Enabled: true
1)服务标题。
@WebService
@Policy(uri = "policy:Wssp1.2-2007-Https-ClientCertReq.xml")
2)Client HandlerResolver。
package org.ru5.test;
import java.util.*;
import javax.xml.namespace.QName;
import javax.xml.ws.*;
public class MustUnderstandHeadersHandler implements HandlerResolver {
@Override
public List<Handler> getHandlerChain(PortInfo portInfo) {
final List<Handler> handlerList = new ArrayList<Handler>(1);
handlerList.add(new MustUnderstandHeadersSOAPHandler());
return handlerList;
}
private class MustUnderstandHeadersSOAPHandler implements SOAPHandler<SOAPMessageContext> {
private static final String LOCAL_PART = "Security";
private static final String PREFIX = "wsse";
private static final String URI =
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";
@Override
public Set<QName> getHeaders() {
final QName securityHeader = new QName(URI, LOCAL_PART, PREFIX);
final Set<QName> headers = new HashSet<QName>();
headers.add(securityHeader);
return headers;
}
@Override
public boolean handleMessage(SOAPMessageContext context) {
return true;
}
@Override
public boolean handleFault(SOAPMessageContext context) {
return true;
}
@Override
public void close(javax.xml.ws.handler.MessageContext context) {
}
}
}
答案 2 :(得分:0)
我在使用SSL和JAX-WS时遇到了很多问题,直到我更改了Weblogic中的设置:使用JSSE。 根据weblogic的版本(10.3.x,x正在改变一切),这可能是也可能是不可能的。 它适用于10.3.3和10.3.5,它们都是Weblogic 11g。 可以使用控制台(在安全性,高级)或命令行中完成此更改-Dweblogic.security.SSL.enableJSSE = true
原因是在以前的oracle实现SSL(如果不使用JSSE)中,根据算法和密钥大小,不接受某些证书。此外,此实现使用不同的设置,不会对javax.net.ssl.keyStore等设置使用JSSE设置...
我现在正在使用这个JSSE + -Djavax.net.debug = ssl:verbose,一切都很清楚。