問題タブ [ssl-certificate]

現在、さまざまなクライアント タイプとロールにインターフェイスを公開する Web サービスのグループがあります。

バックグラウンド：

• 認証は、SSL クライアント証明書の検証によって処理されます。これは現在、(HTTP サーバーではなく) Web サービス コードで行われています。これよりも安全性の低いスキームは使用したくありません。この投稿は承認についてではなく、認証についてのみ説明しています。
• Web サービスは SOAP と REST(JSON) の両方に対応しており、どちらのアプローチのメリットについても議論を始めるつもりはまったくありません。
• Web サービスを介して公開されるすべての操作はステートレスです。

私の問題は、リクエストごとにクライアント証明書を検証する作業が非常に重く、アプリケーション サーバーの CPU 時間を簡単に占有してしまうことです。負荷を軽減するために、認証とアプリケーションの部分を別の物理サーバーに分離しようとしましたが、全体的なディスパッチ速度は向上しません。どこで行われても、リクエストの認証には一定の時間がかかります。

クライアント証明書の検証が成功した後、(関連付けられたサーバー側セッションを使用して) HTTP Cookie を生成することにより、認証の数を制限したいと思います。 SSL)。また、セッションの時間を制限し、プロセスをクライアントの観点から可能な限り透明にしたいと考えています.

私の質問:

1. これはまだ安全ですか？(そして、セキュリティとプラグマティズムを最適化するにはどうすればよいでしょうか?)
2. このスキームの無料の実装はありますか? (私は CA による SiteMinder 製品を認識しています)
3. 上記を考えると、アプリケーション内での認証を継続する必要がありますか、それともサーバー内に移行する必要がありますか?

問題：

javax.net.ssl.SSLHandshakeExceptionからスローされたエラーが発生します（添付の画像を参照）

JavaでCA証明書が破損または欠落している可能性はありますか？もしそうなら、どうすればこの問題/エラーを修復または解決できますか？

私が試したこと：

1. PCからすべてのバージョンのJREを削除し、最新バージョンのJRE（1.6.14）をインストールしました。
2. 証明書のユーザーセクションから不要な信頼できる証明書をすべてクリーンアップして削除しました。
3. keytoolを実行して、CAのフィンガープリントを取得してみてください

keytoolを実行しようとすると、次のようになります。

keytoolエラー：java.security.cert.CertificateParsingException：java.io.IOException：サブジェクトキー、java.security.spec.InvalidKeySpecException：不明なキー仕様。

Android で Java の自己署名証明書を受け入れるにはどうすればよいですか?

コードサンプルは完璧です。

私はインターネット上のあらゆる場所を調べましたが、解決策を見つけたと主張する人もいますが、機能しないか、バックアップするサンプル コードがありません。

Java クライアントを使用して ssl で smtp 経由で電子メールを送信する必要があります。どうすればいいのかわかりません。

1. サーバー証明書が Windows マシンにインストールされている場合、どのように使用すればよいですか?
2. Windows 以外のマシンで動作させたい場合、別の方法で証明書を取得する必要がありますか?

ところで: 私が使用している SMTP サーバーが SSL を使用している場合、SSL を使用して受信者にメールが送信されることを確認できますか?

Visual Studio 2005 の使用 - C# 2.0、System.Net.WebClient.UploadData(Uri address, byte[] data) Windows Server 2003

したがって、コードの簡略化されたバージョンは次のとおりです。

これは私が得るエラーです:

基になる接続が閉じられました: SSL/TLS セキュア チャネルの信頼関係を確立できませんでした。

リクエストが送信されたときに何が起こっているかを確認することはあまりできません。正しい宛先に到達していて、「証明書エラー」があると言われました。これはおそらく、私のリクエストの IP アドレスとそれが解決される URL の間に文字通りの不一致があるためです。ラウンドロビンすることになっている IP が複数あるため、URL を指定しても機能しません。私は証明書を添付していません-また、エンドポイントの所有者によると、添付することも想定されていません. 「彼ら」によると、証明書のエラーは「正常であり、無視することになっています。

問題の証明書は、サーバー上に「ちょうどそこに」ある多くのベリサイン証明書の1つであると思われます。証明書エラーを無視するために私が見た例はすべて、要求者が特定の x509 証明書を添付していることを暗示しているようです (私はそうではありません)。

.net WebServiceを調べて、ssl 検証をバイパスしました! これは私の問題を説明しています-ただし、参照する必要がある証明書（存在する場合）がわからないため、それもそうではありません。

どの証明書が問題を引き起こしているのかを実際に知らずに/気にせずにエラーを無視する方法はありますか?

• そしてお願いします - 私は正確にはヘビーヒッターではないので、子供用手袋、小さな言葉、および「ダミー用」コード。

• このトラフィックは専用回線を経由しているため、証明書エラーを無視することは、オープンなインターネット トラフィックほど大きな問題ではないと理解しています。

keytoolを使用してJavaアプリの自己署名証明書を生成しました。ただし、ブラウザでサイトにアクセスすると、常に警告が表示されます。このサイトは証明書を所有していないという警告が表示されます。証明書を自己署名/ドクターする方法があるため、これらの警告は表示されません。ブラウザ？サーバーとブラウザの両方が同じホスト上にあり、「http：//localhost/」を使用してサイトに移動します。大規模なビルドファームで実行されるテストがあるため、ブラウザーに例外を追加したくないので、すべてのビルドマシンのすべてのブラウザーに例外を追加するのは過剰です。

iPhone 3G OS 3.0.1 でiPhone アプリケーションを問題なく使用しています。アプリケーションはhttps://api.serverdensity.com/1.0/の API URL に接続し、すべてのリクエストがそこを通過します。

アプリのユーザーは、「信頼されていないサーバー証明書」というエラーが突然表示されるようになったと報告しています。他のユーザーはこの問題を経験しておらず (私が認識しています)、再現できません。

SSL 証明書は、*.serverdensity.com のワイルドカード証明書です。GoDaddy から購入し、2010 年 5 月まで有効です。

さらに、ユーザーは OS 3.0.1 を実行しており、時刻/日付はデバイスで正しく設定されており、Safari で API URL にアクセスすると正しく読み込まれます。

この原因についての提案はありますか？

Web サーバー用の SSL 証明書が必要です。次の OpenSSL コマンドを使用して、自己署名 SSL 証明書を生成できます。

CA 署名付き証明書が必要な場合は、CSR (証明書署名要求) を生成できます。

そして、それを 1 つの CA に送信します。その後 ？CA が何を送り返しているのか疑問に思っています。ブラウザとサーバー間のネゴシエーションで使用されるため、証明書のみ、または証明書とDH パラメータですか?

私は偽のCAを作成し、stunnelで使用するために証明書に署名しようとしています（これはOpenSSLルーチンを呼び出しているように見えるので、おそらく役立つプログラムを知る必要はありません:)。ただし、stunnelは、正しいキーで署名されていないと言って、私の証明書を拒否し続けます。

これは、OpenSSLを使用してキーと証明書を生成する方法です。

次に、私のstunnel.confには次のエントリがあります。

stunnelを起動しようとすると、一般的なOpenSSLの「キーが証明書と一致しません」というエラーが発生します。

ファイルの生成で何か問題がありましたか？

私たちは SSL 証明書を購入していないので、私たちのウェブサイトのユーザーは、ウェブサイトを使用するたびに「承認」をクリックする必要があります。IIS 7 ですべての https:// トラフィックを http:// にリダイレクトする簡単な方法はありますか? すべてのコンテンツが http:// の下で提供されるように

ちなみに、SSL設定で「SSLが必要」にチェックを入れていません。

また、SSL 証明書を購入した場合、サーバー上の IIS 7 が SSL 証明書を使用して、毎回警告することなくユーザーのエントリを許可できるようにするにはどうすればよいですか?

ありがとう！