問題タブ [truststore]

製品には WSO2 ID サーバーを使用しています。アプリケーションに関しては、IDS を使用してユーザーを認証しています。現在、サードパーティ製品と統合したいと考えています。また、ID サービス [auth/auth] に WSO2 IS を使用することも提案しました。

サードパーティのアプリケーションにリクエストを送信すると、サードパーティのアプリケーションはアプリケーション リクエストを認証し、リクエストを受け入れる必要があります。彼らは私たちの ID プロバイダーを信頼できる認証プロバイダーとして追加できますか?それは、ユーザー要求が私たちの ID ソースに対して認証されるのに役立ちますか?

これは可能ですか？もしそうなら、それが行われているサンプルを教えてください!

私の Android アプリは、TLS を介した信頼されていないサーバーへの接続をサポートする必要があります。ユーザーに接続の確認を求めるダイアログを表示するSSLSocketFactoryカスタムをインストールすることで、これを処理します。また、のコールバックX509TrustManagerをオーバーライドすることでこれを処理します（この質問につながります）。WebViewClientonReceivedSslError

これらX509Certificateは公開鍵のみであるため、平文で保存されているかどうかは問題ではありません。ただし、システムが自動的に検証を処理するように、それらを保管できる場所はありますか? 今、私はそれらを に入れ、それSet<String> SharedPreferencesに対して受け取った信頼できない証明書をチェックしSet<String>ます。理想的には、それらをデフォルトのトラストストアに入れ、ユーザーがログアウトしたときにデフォルトのトラストストアからそれらをクリアする方法があるでしょう。

私は、コード署名と Windows セキュリティ プロンプトについて多くの調査を行ってきました。comodo からのコード署名証明書を持っていますが、ほとんどの場合、すべてがうまく機能しているようです。

1) すべてのファイルがローカル ディスクにある場合 - 正常に動作
します 2) ファイルが UNC パス上にあり、サーバーがローカル マシンと同じドメインにある場合 - gravy

ただし、ファイルが UNC パス上にあり、別のドメイン上にある場合、またはドメインがない場合、「このファイルの作成者を確認できません...」という厄介なダイアログが表示されます。証明書にエラーはありません。

ファイルに署名するために使用しているコマンド

私は何かを見逃していますか、それともこれはそのままですか？

HttpGet現在、同時に複数のリクエストを実行しようとしていますCloseableHttpClient。
その方法をグーグルで調べたところ、答えはPoolingHttpClientConnectionManager.

この時点で私はこれを得ました：

HttpGetそれから私はリクエストを試みましたがhttp://www.google.com、すべてうまくいきました。

次に、cmd を使用してトラストストアを作成し、対象の Web サイトの証明書をインポートSSLConnectionSocketFactoryし、トラストストアをセットアップしてSSLSocketFactory、httpClient次のように設定しました。

Https を実行しようとするとHttpGet、PKIX path building failed例外が発生します。
私が同じことをせずに行うと、.setConnectionManager(cManager)すべてうまくいきます。

どうすればこれを機能させることができるか教えてもらえますか？(心配しないでください。私は ddos​​ ツールを作成していません)

前もって感謝します！

PS: HttpComponents 4.3.1 を使用しています

アプリケーションから TLS-SMTP 経由でメールを送信しようとしています。これは、ローカル (Tomcat7、Java7、Windows) では機能しますが、運用環境 (Tomcat7、Java6、Linux) では機能しません。SMTP サーバーの公開証明書を含むトラスト ストアは、アプリケーションと共に出荷され、次の方法で手動で設定されます。

どちらの場合も同じです。これを使用して確認しました

メールが送信される直前に、それぞれの環境のストアを指す絶対パスが返されます。

したがって、私の知る限り、両方のアプリケーション環境がまったく同じトラスト ストアを使用しています。（確実に確認する方法はありますか？）

私は使用しています

より多くの洞察を得ることができますが、おそらく Java6 と Java7 の違いが原因で、2 つの環境間で出力がかなり異なります。本番環境 (Java6) のエラーは次のとおりです。

つまり、私の推論に欠陥があるか、バグがあるか、これまで考慮していない別のことがここにあります。何か案は？

私が作成した Web サービス (これも cxf ベース) と通信するように cxf ベースのクライアントを構成しようとしています。

Web サービス自体は問題なく動作し、soapUI.

ただし、クライアントは正常にビルドされますが、呼び出し時に SunCertPathBuilderException がスローされます。

これは、信頼できる証明書への有効な証明書チェーンを使用して、サーバーの証明書を含むトラストストアへの有効なパスを提供することに関係しているのではないかと疑って、最初にそのサーバーの証明書を PFX にエクスポートして、プロジェクト自身の証明書にインポートできるようにしました。.jks. これは、何らかの理由でcertmgr.mscエクスポート ユーティリティ ( ) がグレー表示する秘密鍵が必要なため、不可能であることが判明しました。

だから私は別の方向から問題に取り組むことを試みました.soapUIがSSL経由でWebサービスと通信するのに問題がないことを知っています.soapUI用の証明書をインストールしていないので、ルート証明書(CA)で満足する必要があります.そのcacertsファイルに既に存在します。

しかし...http:conduit私のCXFベースのアプリケーションコンテキスト.xmlにはJKSタイプのキーストアが必要です...そのため、キャッチ22の状況にあるようです。

cacertsファイルがJKSタイプでない限り？

cacertsそうでない場合、証明書を からに変換またはエクスポートする方法はあり.jksますか?

これを解決する正しい方法は何ですか？