xml via SSL über Proxy

[Robt]

Hallo zusammen,

ich renn von einer Sackgasse in die Nächste, obwohl die Lösung so verdammt Nahe liegen müsste. Ich habe mich schon fast zu Tode gegoogelt, aber irgendwie will es nicht funktionieren.
Ziel ist es einen OutputStream per POST-Aufruf über eine SSL Verbindung zu schicken und eine Antwort in Form eines InputStream zu erhalten. Um ins Internet zu kommen, muss ich über einen Proxy gehen.
Die "andere" Seite hat kein eigenes Zertifikat, so wurde mir gesagt.

Ich möchte nicht unbedingt Code haben, sondern einfach die Schritte wie ich daran gehen muss. Quasi zu erst muss ich mich um den keystore kümmern .. etc.... Bei keystores auch gerne etwas ausführlicher :?

Über eine ungesicherte Verbindung habe ich das Ganze schon realisiert, da habe ich eine HttpURLConnection verwendet und es funktioniert einwandfrei. Aber das SSL raubt mir den letzten Versand.

Vielen Dank für eure hoffentlich zielweisenden Beiträge.


Viele Grüße
Robt

 

[Guest]

Hi,

zu dem Zertifikat:
Der Empfänger MUSS ein Zertifikat haben (Server mit dem du kommunizierst).
Dies kann auch selbst-erstellt und selbst-unterschrieben sein - zum Test reicht das völlig.
Welche Archtiektur hat den der Server (Tomcat ?)

Beim Tomcat ein Zertifikat einzurichten ist recht simpel:

Befehle / Übersicht "keytool"
http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html

Wir haben uns selbst eine kleine Anleitung geschrieben, weil es oft zu Missverständnissen bei der Verwendung kommt, hilft ja vielleicht:

4 Schritte für SSL im Tomcat.

Erstellen des Request Key’s (Wird für die Bestellung benötigt. Fingerprint des Servers)
Achtung: CN -> Domain die genutzt werden soll.
Beispiel:
1) Server: Erstellung Request Key’s
C:\Program Files\Java\j2re1.4.2_03\bin>keytool -genkey -v -keyalg RSA -alias tomcat -keypass -storepass

Wie lautet Ihr Vor- und Nachname? www.meineseite.de
Wie lautet der Name Ihrer organisatorischen Einheit? MeineFirma
Wie lautet der Name Ihrer Organisation? Firma GmbH
Wie lautet der Name Ihrer Stadt oder Gemeinde? Musterstadt
Wie lautet der Name Ihres Bundeslandes oder Ihrer Provinz? NRW
Wie lautet der Landescode (zwei Buchstaben) f³r diese Einheit? DE

Ist CN=www.meineseite.de, OU=MeineFirma, O=Firma GmbH, L=Musterstadt, ST=NRW, C=DE richtig?: j

DOS:
Erzeuge 1.024-Bit RSA Schl³sselpaar und selbst signiertes Zertifikat (MD5WithRSA) für:
CN=www.meineseite.de, OU=MeineFirma, O=Firma GmbH, L=Musterstadt, ST=NRW, C=DE

Falls nicht angegeben wird der keystore an folgender Stelle abgelget:
C:\Documents and Settings\Administrator\.keystore wird gespeichert.
2) Speichern des Request Key’s!
Dos:

keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr

Dieser Request (Anfrage) muss nun unterschrieben werden, entweder selbst mit dem Keytool oder von einem Zertifkats-Aussteller (verisign, o.ä,)
Als antwort erhalten wir 2/3 Dateien:

* Root Certificate
* Intermediate Certificate
* Server Certificate

3) Importieren der 3 Zertifikate:

* Root Certificate
* Intermediate Certificate
* Server Certificate

Beispiel (DOS):
root:

keytool -import -trustcacerts -alias root -file "C:/keystore/root.crt" -keystore "C:/keystore/.keystore"

interme:

keytool -import -trustcacerts -alias INTER -file "C:/keystore/intermediate.crt" -keystore "C:/keystore/.keystore"

main:

keytool -import -trustcacerts -alias tomcat -file "C:/keystore/www.domain.de.cer" -keystore "C:/keystore/.keystore"

(Certificat-Response kann auch mit '.crt' enden, die Datei '*.csr' wird nicht gebraucht)

4)Server.XML
Server.xml des Tomcats anpassen (Beispiel):

<Connector
classname="org.apache.coyote.tomcat4.CoyoteConnector"
port="443"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
debug="0"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystorePass="kundessl"/>

optional if ".keystore" is not in default directory (user-home-directory) of the user tomcat is running as:

[...]keystoreFile="c:\tomcat5\ssl\.keystore"[...]

du solltest dann per Browser testen, ob das mit SSL geht.

Wenn du dann per JAVA Daten austauschen willst, würde ich u.U. den HttpClient von Apache Commons (3.1 oder höher) nehmen, der hat eigentlich alles drin, was man braucht.
Selbst habe ich das nicht getestet, aber der sollte alles unterstützen.

 

[Niki]

Ich hab vor kurzem einen WebService Client über SSL und Proxy realisieren müssen. Proxy ist ganz einfach, du brauchst nur folgende System-Properties hinzufügen:

System.getProperties().put("http.proxyPort", "3128"); //Standard
System.getProperties().put("http.proxyHost", "proxy-host");
System.getProperties().put("http.proxySet", "true");

Für die SSL Verbindung habe ich mir ein jks-File mittels portecle erstellt. Das ist ganz einfach. Einfach das Server-Zertifikat importieren und dann das jks-File generieren lassen. Das jks-File kann man dann am Client so einbinden:

InputStream is = new FileInputStream(new File("cert", "mein-zert.jks"));
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(is, "passwort".toCharArray());
is.close();

Das hat auf Anhieb funktioniert.