問題タブ [client-certificates]

HTTP 要求を実行し、Java を使用して X.509 証明書で署名するにはどうすればよいですか?

私は通常、C# でプログラミングします。今、私がやりたいことは、Java のみで、次のようなものです。

Java でjava.security.cert.X509Certificateインスタンスを作成しましたが、それを HTTP リクエストに関連付ける方法がわかりません。java.net.URL インスタンスを使用して HTTP リクエストを作成できますが、証明書をそのインスタンスに関連付けることができないようです (また、java.net.URL の使用が適切かどうかもわかりません)。

SSL + クライアント証明書認証を使用してサーバーから jar 依存関係をロードするアプレットがあります。

アプレットをロードする Web ページは、クライアント証明書を使用して既に認証されています。

ただし、アプレットが起動すると、(ブラウザとは別の) JVM プロセスによって、証明書を選択するためのダイアログが表示されます。結局のところ、これらの証明書は Java クライアント証明書キーストアから読み込まれます。

• %USERPROFILE%\Application Data\Sun\Java\Deployment\security\trusted.clientcerts (Windows XP/2000)

• %USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\security\trusted.clientcerts (Windows 7)

ユーザーが自分の証明書をこのキーストアにインポートすることを強制したくありません。代わりに、JVM に Firefox の証明書キーストア内の証明書を検索させたいと考えています。

これは実行可能ですか？実際の例は非常に高く評価されます!

これは Apache 仮想ホスト構成の一部であり、一致する着信要求が Apache Tomcat サーバーに転送されます。すべてのクライアントは、App1 の認証のためにクライアント証明書を送信する必要がありますが、App2 の場合はオプションである必要があります。

app2 の SSLVerifyClient ディレクティブを必須からオプションに切り替える可能性はありますか?

からすべてのクライアント認証証明書を検索したいX509Store(StoreLocation.CurrentUser)

とにかくこれを行うことはありますか？すべてを取得してから、特定のプロパティでフィルタリングして、すべてのクライアント認証証明書を取得しても?

Windows 証明書ストアの証明書が .NET で「強力な秘密キーを有効にする」保護としてインポートされているかどうかを理解することはできますか?

PHP5 SOAP 拡張機能を使用して、クライアント証明書と WS-Security を使用して https エンドポイントを持つ Web サービスに接続できませんでしたが、soapUI を使用してまったく同じ wsdl とクライアント証明書で接続し、通常の応答を取得できます。リクエスト。HTTP 認証はなく、プロキシも関与しません。「ホストに接続できませんでした」というメッセージが表示されます。ホストサーバーにアクセスしていないことを確認できました。（以前、サーバーにアクセスしていると間違って言いました。）

自己署名クライアント SSL 証明書は、openssl によって .p12 キーストアから変換された .pem ファイルです。このファイルは、秘密鍵とクライアント証明書で構成される単一のエントリを持つ .jks キーストアから keytool によって変換されました。

soapUI では、サーバーのプライベート証明書を提供する必要はありませんでした。提供したファイルは wdsl と pem の 2 つだけでした。接続できるようにするには、pem とそのパスフレーズを指定する必要がありました。エラー メッセージにもかかわらず、私の問題は実際には SSL 接続自体ではなく、XML 要求の形成にあるのではないかと推測しています。

与えられた wsdl には、複合型がネストされています。PHP サーバーは、IIS を搭載した Windows XP ラップトップ上にあります。

コード、データ値、および WSDL の抜粋を以下に示します。(WSSoapClient クラスは単に SoapClient を拡張し、mustUnderstand = true で WS-Security Username Token ヘッダーを追加し、nonce を含めます。どちらも soapUI 呼び出しで必要でした。)

どんな助けにも感謝します。私はどん底に突き落とされた初心者ですが、なんと！多くの提案に従って、これについて何日にもわたって大量のグーグル検索を行い、Kevin McArthur による Pro PHP を読みました。ネストされた配列の代わりにクラスマップを使用する試みも失敗しました。

コード

$接続は次のとおりです。

$clientArguments は次のとおりです。

$操作は次のとおりです。

$request は次のとおりです。

それ自体が配列であるリクエストをラップする配列という、追加レベルのネストがあることに注意してください。理由はわかりませんが、これは投稿で提案されましたが、他の例外を回避するのに役立つようです。

___soapCall によってスローされる例外は次のとおりです。

いくつかの WSDL の抜粋 (TIBCO BusinessWorks) を次に示します。

そして、関連する場合に備えて、WSSoapClient クラスは次のとおりです。

アップデート：

要求 XML は次のようになります。

これは、WSSoapClient の次のコードで取得されました。

セットアップは次のとおりです。

• Firefox (3.x と 4b の両方) とクライアント証明書を含む、適切にセットアップされ、機能する証明書。
• 別のサブドメインへの XMLHttpRequest() タイプの AJAX 呼び出しを含む Web ページ。
• 上記のサブドメイン内のカスタム Web サーバーは、リクエストを受け入れ、寛容なAccess-Control-Allow-Originヘッダーで応答し、クライアントの検証を要求します。

問題は、Firefox がリクエストを突然中止することです (とにかく、それは firebug に書かれていることです)。代わりにセットアップを実行するとopenssl s_server、Firefox が実際にはクライアント証明書さえ送信しないことが示唆されます。

まったく同じセットアップが Chrome で完全に機能し、おそらく Firefox のバグを示唆しています。ただし、 DOM に要素を挿入して ajax 呼び出しを実行すると、意図したとおりに動作するようです...<script>

それで、他の誰かがこれに遭遇しましたか？バグですか？回避策はありますか？明らかに欠けているものはありますか？

証明書を使用して保護されている ODATA サービスがあります。AddWebReference を使用して、C# コードでプロキシを取得しています。

証明書ストアにある証明書を、この生成されたプロキシ クラスに添付する方法はありますか?

を使用して証明書を追加できますが、ODATA サービスと通信するために を使用することはHTTPClient避けHTTPClient、AddWebReference メソッドを使用することを好みます。

CherryPy 3.0 以降では、次のようにサーバー証明書と秘密鍵を指定するだけで一方向 SSL を有効にできます。

これにより、クライアントはサーバーの信頼性を検証できます。CherryPy が双方向 ssl をサポートしているかどうか、たとえば、サーバーがクライアント証明書を検証してクライアントの信頼性を確認できるかどうかを知っている人はいますか?

はいの場合、誰かがそれがどのように行われるか例を挙げてもらえますか? または、例への参照を投稿しますか?

これは少し奇妙です。

jabber のクライアント証明書ベースの認証を追加しようとして、Pidgin の改善に取り組んでいます。Openfire サーバー (クライアント証明書ベースの認証をサポート) をセットアップしましたが、正しくセットアップしたことを確認したいので、動作することがわかっているクライアントでテストします。そのためには、クライアント証明書ベースの認証を既にサポートしているクライアントが必要です。

これが、テストが依存地獄に出会う方法だと思います。

openfire のセットアップをテストするために使用できる jabber クライアントを知っている人はいますか?