ssl мыло для отказа от рукопожатия

Question

ssl мыло для отказа от рукопожатия

1

Я потребляю мыльную услугу через cxf, которая защищена с помощью ssl v3. Я загружаю файл.cer с сервера и создаю файл JKS через keytool с помощью этой инструкции:

keytool -import -v -file iban.cer -keystore iban.jks

В java-коде я использую этот код для конфигурации клиента:

    public void configureSSLOnTheClient(Object c) {

        org.apache.cxf.endpoint.Client client = ClientProxy.getClient(c);
        HTTPConduit httpConduit = (HTTPConduit) client.getConduit();
        File truststore = new File("jks/iban.jks");                   

        try {
            TLSClientParameters tlsParams = new TLSClientParameters();
            tlsParams.setDisableCNCheck(true);


            KeyStore keyStore = KeyStore.getInstance("JKS");
            String trustpass = "password";

            keyStore.load(new FileInputStream(truststore), trustpass.toCharArray());

            log.info("Trust Manager Type:"+TrustManagerFactory.getDefaultAlgorithm());
            TrustManagerFactory trustFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

            trustFactory.init(keyStore);
            TrustManager[] tm = trustFactory.getTrustManagers();
            tlsParams.setTrustManagers(tm);

            keyStore.load(new FileInputStream(truststore), trustpass.toCharArray());

            KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());

            keyFactory.init(keyStore, trustpass.toCharArray());
            KeyManager[] km = keyFactory.getKeyManagers();
            tlsParams.setKeyManagers(km);


            FiltersType filter = new FiltersType();
            filter.getInclude().add(".*_EXPORT_.*");
            filter.getInclude().add(".*_EXPORT1024_.*");
            filter.getInclude().add(".*_WITH_DES_.*");
            filter.getInclude().add(".*_WITH_NULL_.*");
            filter.getExclude().add(".*_DH_anon_.*");
            tlsParams.setCipherSuitesFilter(filter);

            httpConduit.setTlsClientParameters(tlsParams);

        } catch (KeyStoreException kse) {
            log.info("Security configuration failed with the following: KeyStoreException " + kse.getCause());
            kse.printStackTrace();
        } catch (NoSuchAlgorithmException nsa) {
            log.info("Security configuration failed with the following: NoSuchAlgorithmException" + nsa.getCause());
            nsa.printStackTrace();
        } catch (FileNotFoundException fnfe) {
            log.info("Security configuration failed with the following: FileNotFoundException" + fnfe.getCause());
        } catch (UnrecoverableKeyException uke) {
            log.info("Security configuration failed with the following: UnrecoverableKeyException" + uke.getCause());
        } catch (CertificateException ce) {
            log.info("Security configuration failed with the following: CertificateException" + ce.getCause());
        } catch (GeneralSecurityException gse) {
            log.info("Security configuration failed with the following: GeneralSecurityException" + gse.getCause());
        } catch (IOException ioe) {
            log.info("Security configuration failed with the following: IOException" + ioe.getCause());
        }

    }

И для вызова службы этот код:

 String address = "https://xxxxxxxxxx/IBANSpecEnquiry/IBANSpec?wsdl";
    JaxWsProxyFactoryBean proxyFactory = new JaxWsProxyFactoryBean();
    proxyFactory.setServiceClass(IBANEnquirySpec.class);
    proxyFactory.setAddress(address);

    IBANEnquirySpec client = (IBANEnquirySpec) proxyFactory.create();
    configureSSLOnTheClient(client);
    Message04 message04 = client.getIBANSpec(message01);

Когда я запускаю код, эта ошибка возникает:

 Interceptor for {http://WebServices/}IBANEnquirySpecService#{http://WebServices/}getIBANSpec has thrown exception, unwinding now
org.apache.cxf.interceptor.Fault: Could not send Message.
at  org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingIntercept    or.handleMessage(MessageSenderInterceptor.java:64)
at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:272)
at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:570)
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:479)
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:382)
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:335)
at org.apache.cxf.frontend.ClientProxy.invokeSync(ClientProxy.java:96)
at org.apache.cxf.jaxws.JaxWsClientProxy.invoke(JaxWsClientProxy.java:136)
at com.sun.proxy.$Proxy143.getIBANSpec(Unknown Source)
at  ir.tejaratBank.service.impl.IBANClientManagerImpl.getIBANSpec(IBANClientManagerImpl.java:259)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
. 
.
.
.
Caused by: javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking https://192.168.65.118:443/IBANSpecEnquiry/IBANSpec?wsdl: Received fatal alert: handshake_failure
at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
at sun.reflect.NativeConstructorAccessorImpl.newInstance(Unknown Source)
at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(Unknown Source)
at java.lang.reflect.Constructor.newInstance(Unknown Source)
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.mapException(HTTPConduit.java:1347)
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1331)
at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:632)
at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:62)
... 128 more
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at sun.security.ssl.Alerts.getSSLException(Unknown Source)
at sun.security.ssl.Alerts.getSSLException(Unknown Source)
at sun.security.ssl.SSLSocketImpl.recvAlert(Unknown Source)
at sun.security.ssl.SSLSocketImpl.readRecord(Unknown Source)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getOutputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(Unknown Source)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(Unknown Source)
at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.setupWrappedStream(URLConnectionHTTPConduit.java:174)
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleHeadersTrustCaching(HTTPConduit.java:1290)
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.onFirstWrite(HTTPConduit.java:1246)
at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.onFirstWrite(URLConnectionHTTPConduit.java:201)
at org.apache.cxf.io.AbstractWrappedOutputStream.write(AbstractWrappedOutputStream.java:47)
at org.apache.cxf.io.AbstractThresholdOutputStream.write(AbstractThresholdOutputStream.java:69)
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1303)
... 131 more

Я искал эту ошибку, и я понял, что ошибка для bad trustStore. Но я не знаю, как создать правильный trustStore.

Ali_Rezvani 28 янв. 2015, в 09:02

Источник

0

У меня та же проблема, Ваша проблема решена?
Hadi J 17 окт. 2017, в 08:41

Теги:

java

ssl

soap

2 ответа

Ещё вопросы

У меня та же проблема, Ваша проблема решена?

Nawar Khoury · Answer 1 · 2015-01-28T07-14-00.000Z

для создания хранилища доверия, попробуйте использовать это:

keytool -import -alias youralias -file [path to certificate]/iban.cer -keystore [path to truststore.jks]/truststore.jks -storetype JKS

но что было бы лучше, не использует всю эту конфигурацию ssl и вместо этого импортирует сертификат в хранилище доверия java cacerts, используя это:

keytool -import -v -file iban.cer -keystore %JAVA_HOME%/jre/lib/security/cacerts -alias youralias

Спасибо. Я пытаюсь создать JKS-файл под вашим руководством, но в результате ничего не происходит
эй, извини, я опоздал, чтобы ответить. Другой способ создания хранилища доверенных сертификатов - использование openssl. Это довольно просто. Я уверен, что вы можете узнать, как с помощью небольшого поиска в Google, но я также сомневаюсь, что это сработает, потому что я полагаю, что ваша проблема не связана с хранилищем доверенных сертификатов. Я думаю, что это какая-то проблема совместимости с используемой вами версией Java ... Я предлагаю вам попробовать это исследовать.
кстати, то, что я обычно делаю с клиентами, делающими звонки через веб-сервис через https, это просто импорт сертификата в хранилище ключей cacerts в папке java bin, которую использует клиент, используя вторую команду, предложенную в ответе, не знаю, помогает ли это, но Я думаю, что стоит попробовать.

jhoule86 · Answer 2 · 2015-01-31T04-59-00.000Z

Ошибка не всегда указывает на проблему с хранилищем Trust. Если вы используете Java 8, SSLv3 может быть отключен из-за попытки избежать атаки POODLE.

См. Этот связанный пост: Как включить SSL 3 в Java