HTTPS Request mit unbekannter Instanz

[Thallius]

Hi,

ich mache mit Java 8 einen HTTPS Request auf einen lokalen Server im Firmennetzwerk. Die Firma (Weltweit eine der größten Fimen überhaupt) hat eine eigene Zertifizierungs Instanz und hat dementsprechend für den Server ein Zertifikat ausgestellt.

Diese wird aber anscheinend von Java so nicht akzeptiert da Java die Instanz wohl nicht kennt.

So wie ich das nun herausgefunden habe, ist der einzige Weg, dass ich das Zertifikat lokal auf jedem Rechner in der keystroke der jeweiligen Java JVM installiere. Ist das wirklich der einzige Weg? Ich kann auch per Trick die Zertifizierungs-Validierung abschalten aber das ist ja auch keine wirklich akzeptabele Lösung.

Wenn ich wirklich das Zertifikat auf jedem Client Rechner installieren muss. Gibt es dafür fertige Frameworks die einen Installer für meine Java-Applikation darstellen die dann auch dieses Zertifikat mit installieren? Denn dieser sch... keystore kann ja bei jedem Client wo anders liegen. Je nachdem wo Java installiert ist etc.

Gruß

Claus

 

[Tobse]

Mit welcher Library machst du das denn? Im Apache HTTP Client gibt es dieses schöne Interface, habe ich schon erfolgreich eingesetzt: https://hc.apache.org/httpcomponents-core-ga/httpcore/apidocs/org/apache/http/ssl/TrustStrategy.html

Den Beispielcode, wo ich das einsetze, kann ich aus rechtlichen Gründen leider nicht posten, sorry :/

 

[Thallius]

Danke,

Da wühl ich mich schon irgendwie durch.

Gruß

Claus

 

[DrZoidberg]

Da brauchst du keine andere Library. Mit HttpsURLConnection.setHostnameVerifier kannst du die Zertifikatsüberprüfung abschalten.

 

[Tobse]

Da brauchst du keine andere Library. Mit HttpsURLConnection.setHostnameVerifier kannst du die Zertifikatsüberprüfung abschalten.

Geht das auch mit Sockets? Bei SSLSocket sehe ich auf den ersten Blick nichts

Und immer schön vorsichtig sein: die Prüfung abzuschalten ist eine Kardinalsünde. Wenn dann einen Decorator einbauen, mit dem man die CA des Unternehmens Whitelisten kann.

 

[mrBrown]

Mit HttpsURLConnection.setHostnameVerifier kannst du die Zertifikatsüberprüfung abschalten.

Ich kann auch per Trick die Zertifizierungs-Validierung abschalten aber das ist ja auch keine wirklich akzeptabele Lösung.

Ist doch auch gar nicht gewünscht...

 

[thecain]

Du könntest den Windows Keystore laden. Der Client müsste die Zertifikate da ja normalerweise haben.

KeyStore winKeystore = KeyStore.getInstance("Windows-MY", "SunMSCAPI");

 

[Tobse]

Der Client müsste die Zertifikate da ja normalerweise haben.

Hat er ja eben nicht, das ist ja das Problem

 

[thecain]

der einzige Weg, dass ich das Zertifikat lokal auf jedem Rechner in der keystroke der jeweiligen Java JVM installiere. Ist das wirklich der einzige Weg?

Der andere Weg ist eben, es aus dem WinCert Store zu laden, statt in cacerts zu packen.

Jedenfalls hab ich die Frage so verstanden

 

[Thallius]

Bitte schaut ein wenig über den Tellerrand. Wir haben in unserem weltweiten Konzern nicht nur Windows Clients! Alles was also eine reine Windows Lösung darstellt ist uninteressant. Oder glaubt ihr ich würde freiwillig Java programmieren wenn nicht Plattform Unabhängigkeit eine Grundvoraussetzung wäre

Gruß

Claus

 

[Tobse]

Also nochmal zum sicherstellen: du möchtest das mit den Java 8 boardmitteln erreichen? Und geht es um einfaches HTTPS Request&Response oder muss es eine Vollwertige TLS-Verbindung sein?

 

[Thallius]

Also nochmal zum sicherstellen: du möchtest das mit den Java 8 boardmitteln erreichen? Und geht es um einfaches HTTPS Request&Response oder muss es eine Vollwertige TLS-Verbindung sein?

Ja und ja ich brauche nur einfachen https Request für ganz simplen JSON REST Service.

Also wenn es nicht anders geht, dann muss ich halt für Windows Mac und Linux jeweils einen extra installer schreiben aber das wäre die Notlösung.

Der Vorteil von java ist eben, dass man ohne irgendeine Installation nur durch starten der .jar eine applikation hat die auf jedem Rechner läuft.

Gruß

Claus

 

[DrZoidberg]

Man muss die Überprüfung nicht abschalten. Mit setHostnameVerifier kannst du jede beliebige Regel zur Überprüfung des Zertifikats implementieren.

 

[Tobse]

Man muss die Überprüfung nicht abschalten. Mit setHostnameVerifier kannst du jede beliebige Regel zur Überprüfung des Zertifikats implementieren.

Das hätte ich jetzt auch vorgeschlagen. Der Ansatz von @DrZoidberg funktioniert dafür einwandfrei. Den HostnameVerifier überschreiben und nur Zertifikate Akzeptieren, die vom speziellen CA signiert sind.

Man muss da mmn. aber sehr aufpassen: die normale Prüfung der Signaturen under der Hostnames muss natürlich wie gewohnt ablaufen. Am besten baut man wahrscheinlich einen Decorator um den HostnameVerifier, welcher mit dem Keystore des Systems/der JVM arbeitet.

 

[Thallius]

Danke euch beiden.

Mit den Infos kann man doch was anfangen.

Gruß

Claus

 

[Thallius]

Also ich komme überhaupt nicht weiter.

Aus lauter Verzweiflung habe ich jetzt mal mit dem HostNameVerifier rumprobiert aber der wird nicht einmal aufgerufen. Vorher kommt wohl schon die Exception

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Mein Testcode:

    public static String[] sendPost(String url, String text) throws Exception 
    {
        final String USER_AGENT = "Mozilla/5.0";

        URL obj = new URL(url);
        BufferedReader in = null;
        String session = null;

        Logger.Log("HTTPS New Post Request: "+url);
        HttpsURLConnection.setDefaultHostnameVerifier(new MyHostNameVerifier()); // einfach mal probiert bringt aber auch nichts.

        Logger.Log("HTTPS New Post Request: "+url);
        HttpsURLConnection con;
        con = (HttpsURLConnection)obj.openConnection();
        Logger.Log("Connect build");
        con.setHostnameVerifier(new MyHostNameVerifier());
        Logger.Log("Verfier set"); // wird noch aufgerufen

        con.setConnectTimeout(5000);
        //add request header
        con.setRequestMethod("POST");
        con.setRequestProperty("User-Agent", USER_AGENT);
        con.setRequestProperty("Accept-Language", "en-US,en;q=0.5"); 

        // Send post request
        con.setDoOutput(true);

        DataOutputStream wr = new DataOutputStream(con.getOutputStream()); // Hier ist dann Feierabend und die Exc fliegt

        String urlParameters = text; 
        wr.writeBytes(urlParameters);
        wr.flush();
        wr.close();

        Logger.Log("Output send");

      ....
    }

public class MyHostNameVerifier implements HostnameVerifier
{
    @Override
    public boolean verify(final String hostName, final SSLSession session)
    {
        Logger.Log("SSL Hostname: "+hostName); // wird nicht aufgerufen
        return true;
    }
}

Was mache ich falsch?

Gruß

Claus

 

[Flown]

Wo fliegt denn was?

 

[Thallius]

Aehm das steht da alles ganz genau...

 

[mrBrown]

Aehm das steht da alles ganz genau...

Nö. Nur "vorher".

 

[Thallius]

Hae? Ich habe die Exeption beschrieben und im Code steht genau die Stelle wo sie fliegt. Was möchtet ihr denn noch?

 

[mrBrown]

Hae? Ich habe die Exeption beschrieben und im Code steht genau die Stelle wo sie fliegt. Was möchtet ihr denn noch?

Sorry, hab ich da nicht gesehen

Steht zu weit links, als das es hier direkt angezeigt wird :/

 

[Thallius]

Sorry, hab ich da nicht gesehen

Steht zu weit links, als das es hier direkt angezeigt wird :/

Rechts aber macht nix

 

[Tobse]

Also wenn der hier nichtmal aufgerufen wird, siehts glaub düster aus mit Bormitteln :/

Habe mich eben mal durch den Apache HTTP-Core gewühlt um die Stelle zu finden, wo da die TrustStrategies eingbaut werden. Es stellt sich heraus, dass die damit einen X509TrustManager zusammen bauen. Das selbst zu machen ist mmn. riskant, weil man dann auch die Signaturen selbst prüfen muss.

Von der HTTP-Core Library gibts inzwischen auch die nächste Major-Version (5), die einige der APIs, die ich da zum Whitelisten genutzt habe, wegen deprecation entfernt hat. In der 5er Version gibts vermutlich einen anderen Weg, das Whitelisting umzustetzen (das Interface TrustManager) gibts da noch.

Ich würde dir deshalb empfehlen, auf die Library zurück zu greiffen wenn die Lizensierung es erlaubt.

 

[DrZoidberg]

Ich hab eine Lösung gefunden, die zu funktionieren scheint.
Dazu habe ich den Code von http://stackoverflow.com/questions/...certificate-checking-with-spring-resttemplate etwas verändert.
Solange du sicherstellst, dass die LocalHTTPS Klasse nur für lokale Server verwendet wird, brauchst du auch nur diese in der checkCertificates Methode zu prüfen.

class LocalHTTPS
{
  private static boolean checkCertificates(X509Certificate[] certs) {
    //...
    return true;
  }
  private static final HostnameVerifier LOCAL_HOSTNAME_VERIFIER = new HostnameVerifier()
  {
      @Override
      public boolean verify(final String hostName, final SSLSession session)
      {
          return true;
      }
  };
  private static final TrustManager[] LOCAL_TRUST_MANAGER = new TrustManager[]{
      new X509TrustManager() {
          public java.security.cert.X509Certificate[] getAcceptedIssuers(){
              return null;
          }
          public void checkClientTrusted( X509Certificate[] certs, String authType ){}
          public void checkServerTrusted( X509Certificate[] certs, String authType ) throws CertificateException {
            if(certs == null || certs.length == 0 || authType == null || authType.length() == 0) {
              throw new IllegalArgumentException();
            }
            if(!checkCertificates(certs)) throw new CertificateException();
          }
      }
  };

  public static String[] sendPost(String url, String text) throws Exception {
      final String USER_AGENT = "Mozilla/5.0";

      URL obj = new URL(url);
      BufferedReader in = null;
      String session = null;

      Logger.Log("HTTPS New Post Request: "+url);
      HttpsURLConnection con;

      con = (HttpsURLConnection)obj.openConnection();
      SSLContext sc = SSLContext.getInstance("SSL");
      sc.init(null, LOCAL_TRUST_MANAGER, null);
      con.setSSLSocketFactory(sc.getSocketFactory());

      Logger.Log("Connect build");
      con.setHostnameVerifier(LOCAL_HOSTNAME_VERIFIER);
      Logger.Log("Verfier set");

      con.setConnectTimeout(5000);
      //add request header
      con.setRequestMethod("POST");
      con.setRequestProperty("User-Agent", USER_AGENT);
      con.setRequestProperty("Accept-Language", "en-US,en;q=0.5");

      // Send post request
      con.setDoOutput(true);
      con.connect();
      DataOutputStream wr = new DataOutputStream(con.getOutputStream());

      String urlParameters = text;
      wr.writeBytes(urlParameters);
      wr.flush();
      wr.close();

      Logger.Log("Output send");
      return null;
    //....
  }
}

 

[Thallius]

Lol

ich wollte quasi gerade auch eine vergleichbare Lösung posten die ich nun endlich gefunden habe.

TRotzdem Danke für Deine Mühen

Gruß

Claus