1

一周以来,我们一直在寻找解决问题的方法,在查看了很多类似的帖子并阅读了所有可用文档之后,我们还没有找到解决方案。

我将解释我目前的情况,希望有人可以帮助我们解决问题。

我们在 JAX-WS 中开发了一个 Web 服务客户端,它与另一个平台中的服务器端 Web 服务通信。通信是 2 路 SSL,我们有服务器端的 CA,信任他,我们的私有证书在服务器端识别。

我们的 Web 服务客户端部署在 Weblogic 10.3 中,当它要调用服务器端 Web 服务时,我们动态加载信任库和仅加载一个证书的密钥库,因为每次我们要使用不同的证书,因此我们不能只使用静态密钥库。

问题是当我们建立连接、协商握手时,因为 Weblogic 忽略了我们在调用之前加载的信任库和密钥库,而只在 Weblogic 的密钥库中查找受信任的证书和私钥......

如果我们把我们信任的证书放在 Weblogic 的信任库中并重新开始通信。我们开始握手,我们信任服务器端(因为现在 Weblogic 在其密钥库中找到 CA),但是当我们的 Web 服务客户端必须发送证书以被服务器端信任时,“证书链”是空的并且我们得到一个“BAD_CERTIFICATE”。

我们已经尝试使用 Apache CXF 和 JAX-WS,但问题是一样的,使用系统属性和库设置密钥库......所以我们不知道为什么我们的 Web 服务客户端无法发送证书。由于某种原因,Weblogic 似乎没有为他们服务,也许是 Weblogic 配置,但我们不知道。

如果有人知道我们能做什么,请告诉我们。

提前致谢。

4

3 回答 3

0

您的问题是客户端和服务器端的 SSL 配置。SSL 握手问题与您的 Web 服务配置无关:Web 服务通过 HTTP,并且是HttpsURLConnection处理此问题的 java。

2 次 SSL 握手需要:

客户端

  • 服务器证书应该在密钥库中,或者您可以在使用 Web 服务客户端之前按照说明设置此验证:

代码:

// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {new X509TrustManager() {
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return null;
    }

    public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
      }

    public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
      }
} };

// Install the all-trusting trust manager
try {
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
}
  • 服务器证书“服务器名称”必须与您用于访问 Web 服务端点 ( checkURLSpoofing) 的 URL 匹配,或者在使用服务客户端之前关闭此验证设置

代码:

// Create all-trusting host name verifier
HostnameVerifier allHostsValid = new HostnameVerifier() {
    public boolean verify(String hostname, SSLSession session) {
       return true;
    }
};

// Install the all-trusting host verifier
HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
  • 配置客户端以正确发送其证书。在使用 Web 服务客户端之前进行设置

代码:

System.setProperty("javax.net.ssl.keyStore", "path/to/your/key");
System.setProperty("javax.net.ssl.keyStorePassword", "your-keystore-password");
System.setProperty("javax.net.ssl.keyStoreType", "JKS");
System.setProperty("javax.net.ssl.trustStore", "path/to/your/trust/keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "your-truststore-password");
System.setProperty("com.sun.net.ssl.dhKeyExchangeFix", "true");

服务器端

  • 将客户端证书添加到服务器使用的信任库

这应该可以工作,如果您仍然遇到问题,请添加堆栈跟踪(客户端和服务器)以查看发生了什么。

于 2012-07-12T09:10:29.830 回答
0

一步一步的指导。

请参阅WebLogic Server 的 SSL 配置、客户端应用程序配置双向 SSL和配置双向 SSL

keytool -genkey -alias server-alias -keyalg RSA -keypass changeit_0 -storepass changeit_1 -keystore server_keystore.jks -validity 1825
keytool -export -alias server-alias -storepass changeit_1 -file server.cer -keystore server_keystore.jks

keytool -genkey -alias client-alias -keyalg RSA -keypass changeit_2 -storepass changeit_3 -keystore client_keystore.jks -validity 1825
keytool -export -alias client-alias -storepass changeit_3 -file client.cer -keystore client_keystore.jks
#WLHOME\server\lib\cacerts
keytool -import -v -trustcacerts -alias client-alias -file client.cer -keystore cacerts -keypass changeit_2 -storepass changeit


Server->Keystores
Keystores: Custom Identity and Custom Trust
Custom Identity Keystore: server_keystore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: changeit_1
Custom Trust Keystore: <WLHOME>\server\lib\cacerts
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: changeit

Server->General
SSL Listen Port Enabled: true

Server->SSL
Private Key Alias: server-alias
Private Key Passphrase: changeit_0
Hostname Verification: None
Use Server Certs: true
Two Way Client Cert Behavior: Client Certs Requested and Enforced
SSLRejection Logging Enabled: true

1) 服务标头。

@WebService
@Policy(uri = "policy:Wssp1.2-2007-Https-ClientCertReq.xml")

2) 客户端处理程序解析器。

package org.ru5.test;

import java.util.*;
import javax.xml.namespace.QName;
import javax.xml.ws.*;

public class MustUnderstandHeadersHandler implements HandlerResolver {
    @Override
    public List<Handler> getHandlerChain(PortInfo portInfo) {
        final List<Handler> handlerList = new ArrayList<Handler>(1);
        handlerList.add(new MustUnderstandHeadersSOAPHandler());
        return handlerList;
    }

    private class MustUnderstandHeadersSOAPHandler implements SOAPHandler<SOAPMessageContext> {
        private static final String LOCAL_PART = "Security";
        private static final String PREFIX = "wsse";
        private static final String URI =
                "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";

        @Override
        public Set<QName> getHeaders() {
            final QName securityHeader = new QName(URI, LOCAL_PART, PREFIX);
            final Set<QName> headers = new HashSet<QName>();
            headers.add(securityHeader);
            return headers;
        }

        @Override
        public boolean handleMessage(SOAPMessageContext context) {
            return true;
        }

        @Override
        public boolean handleFault(SOAPMessageContext context) {
            return true;
        }

        @Override
        public void close(javax.xml.ws.handler.MessageContext context) {
        }
    }
}
于 2013-06-03T08:56:26.600 回答
0

在我更改 Weblogic 中的设置之前,我遇到了 SSL 和 JAX-WS 的许多问题:使用 JSSE。根据 weblogic 的版本(10.3.x,x 正在改变一切),这可能会也可能不会。它适用于我的 10.3.3 和 10.3.5,它们都是 Weblogic 11g。可以使用控制台(在安全、高级)或命令行 -Dweblogic.security.SSL.enableJSSE=true 来完成此更改

原因是在以前的 SSL 的 Oracle 实现中(如果不使用 JSSE),根据算法和密钥大小,一些证书不被接受。此外,此实现使用不同的设置,并且不会将 JSSE 设置用于 javax.net.ssl.keyStore 等设置...

我现在正在使用这个 JSSE + -Djavax.net.debug=ssl:verbose,一切都很清楚。

于 2013-09-03T09:47:09.877 回答