Probleme mit 'JSSE Samples' von Sun

[Ice-Tea]

Hallo zusammen,

ich bin grade dabei eine Beispielimplementierung von Sun (klick mich) zum laufen zu bringen. ( Das RMI Beispiel )

Ich bin wie folgt vorgegangen:

Da alles in einem Ordner liegt hab ich es erstmal auseinandergepflückt.

Hallo.java
HalloImpl.java
testkeys
policy
RMISSLClientSocketFactory.java
RMISSLServerSocketFactory.java

liegen nun im Ordner rmiServer\rmi\test (Package: rmi.test)



Hello.java
HelloClient.java
RMISSLClientSocketFactory.java

liegen im Ordner rmiClient\rmi\test (Package: rmi.test)


Nachdem ich

ks.load(new FileInputStream("testkeys"), passphrase);

in

ks.load( getClass().getResourceAsStream("testkeys"), passphrase);

geändert habe, war es der Beispielimplementierung auch möglich zu starten. (Vorher gabs eine FileNotFound bzw. Secrurity Exception)

Nur leider hab ich beim Client immer noch probleme.

Hier die Exception:

HelloClient exception: error during JRMP connection establishment; nested exception is: 
        javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
java.rmi.ConnectIOException: error during JRMP connection establishment; nested exception is: 
        javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.rmi.transport.tcp.TCPChannel.createConnection(TCPChannel.java:286)
        at sun.rmi.transport.tcp.TCPChannel.newConnection(TCPChannel.java:184)
        at sun.rmi.server.UnicastRef.newCall(UnicastRef.java:322)
        at sun.rmi.registry.RegistryImpl_Stub.lookup(Unknown Source)
        at rmi.test.HelloClient.main(HelloClient.java:61)
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)
        at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1520)
        at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:182)
        at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:176)
        at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:975)
        at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:123)
        at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:511)
        at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:449)
        at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:817)
        at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1029)
        at com.sun.net.ssl.internal.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:621)
        at com.sun.net.ssl.internal.ssl.AppOutputStream.write(AppOutputStream.java:59)
        at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65)
        at java.io.BufferedOutputStream.flush(BufferedOutputStream.java:123)
        at java.io.DataOutputStream.flush(DataOutputStream.java:106)
        at sun.rmi.transport.tcp.TCPChannel.createConnection(TCPChannel.java:211)
        ... 4 more
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:285)
        at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:191)
        at sun.security.validator.Validator.validate(Validator.java:218)
        at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
        at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
        at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:249)
        at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:954)
        ... 15 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
        at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
        at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
        at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:280)
        ... 21 more
BUILD SUCCESSFUL (total time: 5 seconds)

Hat jemand eine Ahnung wodran das liegen mag?

 

[semi]

Dein Problem ist, dass die Beispiel-Zertifikate in deiner Umgebung nicht bekannt sind.
Lasse es mal wie folgt laufen (ich gehe davon aus, dass du es im Verzeichnis rmi startest)

Server

java -Djavax.net.ssl.trustStore=../samplecacerts -Djavax.net.ssl.trustStorePassword=changeit 
-Djava.security.policy=./policy HelloImpl

Client
java -Djavax.net.ssl.trustStore=../samplecacerts -Djavax.net.ssl.trustStorePassword=changeit 
-Djava.security.policy=./policy HelloClient

 

[Ice-Tea]

Also, so langsam verzweifele ich...

Obwohl ich die ganze sache nun etwas vereinfacht habe (ohne SSL), klappts immer noch nicht.

Ich habe erneut ein HalloWelt Beispiel.

Es funktioniert sogar! Jedoch sobald ich den RMISecurityManager aktiviere bekomme ich beim Client Exception:

Access denied (java.net.SocketPermission 172.16.154.22:2099 connect,resolve)

So langsam schein es mir so, als ob die JVM meine eigene policy nicht annehmen will
Start mit:

java -Djava.security.policy=pfad/policy HalloServer

Was mache ich denn falsch?

EDIT:
policy Inhalt:

// In this example, for simplicity, we will use a policy file that
// gives global permission to anyone from anywhere. Do not use this
// policy file in a production environment.

grant {
	permission java.net.SocketPermission "*", "accept,resolve";
};

 

[Guest]

Server

grant { 
   permission java.net.SocketPermission "*", "accept,resolve"; 
};

Client

grant { 
   permission java.net.SocketPermission "*", "connect,resolve"; 
};

oder wenn dir das alles zu bunt erscheint :wink:

grant { 
   permission java.net.AllPermission; 
};

 

[Ice-Tea]

So, nun hab ich auch die SSL geschichte zum laufen gebracht - allerdings wieder ohne SecurityManager!


Interface:

package rmi.test;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface Hello extends Remote {
    String sayHello() throws RemoteException;
}

Client:

package rmi.test;

import java.net.InetAddress;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.rmi.ssl.SslRMIClientSocketFactory;
import java.rmi.RMISecurityManager;

public class HelloClient {
    
    private static final int PORT = 2019;
    
    public static void main(String args[]) {

        System.setProperty("javax.net.ssl.trustStore", "C:/Dokumente und Einstellungen/HU/Desktop/rmiClient/rmi/test/Client_Truststore");

        /*if (System.getSecurityManager() == null) {
            System.setSecurityManager(new RMISecurityManager());
        }*/
        try {
            
            SslRMIClientSocketFactory rmiCSF =
                    new SslRMIClientSocketFactory();

            Registry registry = LocateRegistry.getRegistry(
                    InetAddress.getLocalHost().getHostName(), PORT,
                    rmiCSF);
            

            Hello obj = (Hello) registry.lookup("HelloServer");
            
            String message = "blank";
            message = obj.sayHello();
            System.out.println(message+"\n");
        } catch (Exception e) {
            System.out.println("HelloClient exception: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

Server:

package rmi.test;
/*
Neues JKS anlegen und einen Schlüssen unter dem Alias SecureServer anlegen:
keytool -genkey -alias SecureServer -keyalg RSA -keystore ServerKeyStore


Erstelle Server-Certificate nach RFC:
keytool -export -alias SecureServer -keystore ServerKeyStore -rfc -file Server.cer

Public Certificate in ein neues JKS importieren:
keytool -import -alias SecureServer -file Server.cer -keystore Client_Truststore
 */

import java.io.*;
import java.net.InetAddress;
import java.rmi.RemoteException;
import java.rmi.RMISecurityManager;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;
import javax.rmi.ssl.SslRMIClientSocketFactory;
import javax.rmi.ssl.SslRMIServerSocketFactory;

public class HelloImpl extends UnicastRemoteObject implements Hello {
    
    private static final int PORT = 2019;
    
    public HelloImpl() throws Exception {
        super(PORT,
                new SslRMIClientSocketFactory(),
                new SslRMIServerSocketFactory());
    }
    
    public String sayHello() {
        return "Hello World!";
    }
    
    public static void main(String args[]) {
        System.setProperty("javax.net.ssl.keyStore", "C:/Dokumente und Einstellungen/HU/Desktop/rmiServer/rmi/test/ServerKeyStore");
        System.setProperty("javax.net.ssl.keyStorePassword", "DasWeißSelbstDerGeheimdienstNicht");


        // Create and install a security manager
        /*if (System.getSecurityManager() == null) {
            System.setSecurityManager(new RMISecurityManager());
        }*/
        
        try {
            SslRMIClientSocketFactory rmiCSF =
                    new SslRMIClientSocketFactory();
            SslRMIServerSocketFactory rmiSSF =
                    new SslRMIServerSocketFactory();

            Registry registry =
                    LocateRegistry.createRegistry(PORT, rmiCSF, rmiSSF);
            
            HelloImpl obj = new HelloImpl();
            
            registry.bind("HelloServer", obj);
            
            System.out.println("HelloServer bound in registry");
        } catch (Exception e) {
            System.out.println("HelloImpl err: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

Im zusammenhang mit System.setProperty() noch eine frage:
gibt es eine möglichkeit sich den Pfad zur datei dynamisch zu holen?
Sonst müßte ich immer wieder anpassen...


Und natürlich wieder das Security-Problem:
Es will einfach nicht funktionieren!

Ich glaube nicht das es an der Permissions selbst liegt. Näher liegt, das er die Datei 'policy' nicht einliest.

Der Parameter

-Djava.security.Policy="C:/Dokumente und Einstellungen/HU/Desktop/rmiServer/rmi/test/policy"

brachte keinen erfolg.

Ich hab auch schon (keine Ahnung ob das überhaupt fuktioniert) mit

System.setProperty("java.security.Policy", "C:/Dokumente und Einstellungen/HU/Desktop/rmiServer/rmi/test/policy");

versucht, brachte aber ebenfalls nicht den gewünschten erfolg.


Die Permissions im file sind derzeit auf "permission java.net.AllPermission;" eingestellt.

Weiß nicht mehr weiter...

 

[Ice-Tea]

So, eine frage hab ich noch.

Da im momment alles funktioniert, wenn auch ohne SecurityManager, kann ich ja schon mal anfangen meine dezeit noch lokalen methoden auf den Server auszulagern.

Mir ist beim testen aufgefallen, das ich wenn ich zwei verschiedene packages nehme, zwingend ein Security Manager gebraucht wird. Ist das korrekt?

Welche nachteile enstehen mir ohne SM? (Sicherheitlücken?)

Wenn ich die richtlinien in der JVM eigen java.policy nachtrage entstehen dabei Nachteile im gegensatz zu einer eigenen policy?