問題タブ [truststore]

次の問題があります。私のTomcat5.5ベースのWebアプリケーションは、SSL接続を検証するためにトラストストアを使用しています。このアプリケーションを使用すると、ユーザーは検証プロセスで使用するCA証明書を追加または削除できます。ただし、トラストストアに証明書を追加したり、トラストストアから証明書を削除したりしても、何も変わりません。アプリケーションは、Tomcatの起動時にトラストストアにあった証明書のみを「認識」します。新しい証明書のセットを認識するために、tomcatを再起動する必要があります。

ただし、これは有効な解決策ではありません。私が必要としているのは、コードベースのソリューションです。ご意見をお聞かせください。

キーストアとトラストストアの違いは何ですか?

A と B の 2 つの端末がある場合、TA は安全なソケット接続を介して TB に接続します。2 つの端末間の接続を実装するコードを記述する必要があります。

キーストアとトラストストアを使用して、このような接続をハンドシェイクするにはどうすればよいですか。別の言い方をすれば、キーストア/トラストストア証明書ファイルはどこに配置すればよいですか? （TAまたはTB）

良いアドバイスや良い例は大歓迎です。

ありがとう

.truststore ファイルを処理する必要がある場所に出くわした人はいますか? .cer を .truststore ファイルにインポートする方法を知っていますか?

Java Keytool または Linux コマンド (openssl コマンドなど) を使用する必要があるかどうかはわかりません。

ありがとう

大規模なJavaアプリケーションに追加するモジュールは、他社のSSLで保護されたWebサイトと通信する必要があります。問題は、サイトが自己署名証明書を使用していることです。中間者攻撃が発生していないことを確認するための証明書のコピーがあります。サーバーへの接続が成功するように、この証明書をコードに組み込む必要があります。

基本的なコードは次のとおりです。

自己署名証明書の追加処理がない場合、これはconn.getOutputStream（）で終了しますが、次の例外があります。

理想的には、私のコードは、Javaに、この1つの自己署名証明書を受け入れるように教える必要があります。これは、アプリケーションのこの1つの場所であり、他の場所ではありません。

証明書をJREの認証局ストアにインポートできることを知っています。これにより、Javaがそれを受け入れることができるようになります。それは私が助けることができれば私が取りたいアプローチではありません。お客様が使用しない可能性のある1つのモジュールに対して、お客様のすべてのマシンで実行することは非常に侵襲的であるように思われます。同じJREを使用する他のすべてのJavaアプリケーションに影響します。このサイトにアクセスする他のJavaアプリケーションの確率はゼロですが、私はそれが好きではありません。また、これは簡単な操作ではありません。UNIXでは、この方法でJREを変更するためのアクセス権を取得する必要があります。

また、カスタムチェックを行うTrustManagerインスタンスを作成できることも確認しました。この1つの証明書を除くすべてのインスタンスで、実際のTrustManagerに委任するTrustManagerを作成できる可能性もあるようです。しかし、TrustManagerはグローバルにインストールされているようで、アプリケーションからの他のすべての接続に影響を与えると思います。それも私にはまったく適切な匂いではありません。

自己署名証明書を受け入れるようにJavaアプリケーションを設定するための推奨、標準、または最良の方法は何ですか？上記で考えているすべての目標を達成できますか、それとも妥協する必要がありますか？ファイルとディレクトリ、構成設定、およびほとんどまたはまったくコードを含まないオプションはありますか？

オンライン サービスから証明書 (pfx ファイル) とそのパスワードが提供されました。

これを Unix の WebLogic 8.1 トラストストアにロードしようとしています。

現在、WebLogic に存在するトラストストアがあります。

私はこれに慣れていないので、他のパーティの証明書を既存のWebLogicキーストアに追加するプロセスは何だったのだろうと思っていました。

pfx ファイルを Unix 用に別のファイルに変換する必要がありますか?

javax.mail API を使用してメールを送信する SSL クライアントを作成しようとしています。私が抱えている問題は、サーバーが SSL を使用することを要求しているが、サーバーも非標準の SSL 証明書で構成されていることです。私が見つけた Web ページには、証明書をトラスト ストアにインストールする必要があると書かれています。私はそれをしたくありません (私には必要な権限がありません。)

1. Javaに証明書エラーを無視させて受け入れる方法はありますか?
2. それができない場合、トラスト ストアをプログラムのローカルにし、JVM 全体にインストールしない方法はありますか?

ssl java接続をテストするために自己署名証明書を設定しましたが、javatrustStoreを見つけることを拒否しています。クラスがコンパイルされるフォルダ（netbeansを使用している）と/ java / jre6 / binに加えて、そのコピーを/ Java / jre6 / lib / securityに保存しました。これは、上記のいずれも機能していないように見えるためです。次のコマンドを実行すると、trustStore=nullになります。

パスを正しく設定する方法は？

********** UPDATE ************ getFile（）メソッドとその他のデバッグデータの使用：

実行：java.lang.NullPointerExceptionクラスパス：C：\ Users \ Main \ Documents \ NetBeansProjects \ sslTest \ build \ classes; C：\ Users \ Main \ Documents \ NetBeansProjects \ sslTest \ src at ssltest.Main.main（Main.java ：15）javax.net.ssl.trustStoreが定義されていませんBUILD SUCCESSFUL（合計時間：0秒）

java keytoolを使用してトラストストアを作成しました（CA証明書を持たないサーバーのサーバー認証用）。しかし、私は何か奇妙なことに気づきました。私はこのようにクライアントを開始しています：

（注：パスワードは指定されていません）

上記の呼び出しは機能します。

しかし、私がこれを試してみると：

それは動作しません。（明らかに、それは機能しません。トラストストアが必要です）。

私はこのオプションを渡す必要があると思っていました（しかし私はしませんでした）：

質問：トラストストアにアクセスするためにパスワードは必要ありませんか？パスワードは変更のためだけですか？キーストアはどうですか？

コード内の SSL エラーを無視する方法について、多くの質問/回答があったことは知っています。

開発リージョンdev.domain.tldでは、SSL 経由でアプリ サーバーを構成しました。

表示される証明書は ですsomedev.domain.tld。

証明書を変更する方法はありません。常にドメインの不一致になります。

したがって、WebサービスをデプロイしてWebサービスにhttps://dev.domain.tld接続/呼び出ししようとすると、例外が発生します:

原因: java.security.cert.CertificateException: dev.domain.tld に一致する名前が見つかりません

そしてsomedev.domain.tld、トラスト ストアに CERT があります。

ここで、コード内でそれを変更する方法 (すべてのドメインを受け入れるトラスト マネージャーを使用) のサンプルをたくさん見ましたが、サーバーに接続するときにドメインの不一致を無視するように JVM に指定するにはどうすればよいでしょうか? -Djavax.net.ssl口論か何かですか？

ありがとうございました！

アップデート：

または、Spring-WS を使用しているので、そのために Spring でプロパティを設定する方法はありますか? (Web サービス テンプレート)

アップデート

Spring Security の何かを使用する必要があると思います: http://static.springsource.org/spring-ws/sites/1.5/reference/html/security.html