Weblogic(10.3)中具有双向SSL的Web服务客户端(JAX-WS)无法完成握手

clj7thdc 于 2022-11-14 发布在其他

关注(0)|答案(3)|浏览(113)

我们一直在寻找一个解决我们的问题一个星期后，在寻找了很多类似的职位和阅读了所有可用的文档，我们还没有得到一个解决方案。
我将解释我目前的情况，我希望有人能帮助我们解决这个问题。
我们在JAX-WS中开发了一个Web服务客户端，它与另一个平台上的服务器端Web服务进行双向SSL通信，我们有服务器端的CA来信任他，我们的私有证书在服务器端进行身份验证。
我们的Web服务客户端部署在Weblogic 10.3中，当它要调用服务器端Web服务时，我们动态加载信任库和密钥库，密钥库只加载了一个证书，因为每次我们要使用不同的证书，所以我们不能只使用静态密钥库。
问题在于，当我们建立连接、协商握手时，因为Weblogic忽略了我们在调用之前加载的信任库和密钥库，而只在Weblogic的密钥库中查找受信任证书和私钥...
如果我们将可信证书放入Weblogic的信任库中，并再次开始通信。我们开始握手，我们信任服务器端（因为现在Weblogic在其密钥库中找到CA），但当我们的Web服务客户端必须发送服务器端信任的证书时，“证书链”为空，我们得到“BAD_CERTIFICATE”。
我们已经尝试使用Apache CXF和JAX-WS，问题是相同的，使用系统属性和库设置密钥库......因此，我们不知道为什么我们的Web服务客户端不能发送证书。似乎Weblogic不为它们提供服务是因为某些原因，可能是Weblogic配置，但我们不知道。
如果有人知道我们能做什么，请告诉我们。
先谢谢你。

ssl

来源：https://stackoverflow.com/questions/11396259/web-service-client-jax-ws-in-weblogic10-3-with-2-way-ssl-cannot-complete-the

3条答案

按热度按时间

uemypmqf1#

您的问题是客户端和服务器端的SSL配置。SSL握手问题与您的Web服务配置无关：Web服务通过HTTP，是java HttpsURLConnection来处理这个问题。
双向SSL握手要求：

客户端

服务器证书应位于密钥库中，或者您可以在使用Web服务客户端之前关闭此验证，如前所述设置此验证：

编码：

// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {new X509TrustManager() {
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return null;
    }

    public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
      }

    public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
      }
} };

// Install the all-trusting trust manager
try {
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
}

服务器证书“服务器名称”必须与用于访问Web服务端点（checkURLSpoofing）的URL匹配，或者在使用服务客户端之前关闭此验证设置

编码：

// Create all-trusting host name verifier
HostnameVerifier allHostsValid = new HostnameVerifier() {
    public boolean verify(String hostname, SSLSession session) {
       return true;
    }
};

// Install the all-trusting host verifier
HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);

将客户端配置为正确发送其证书。请在使用Web服务客户端之前进行设置

编码：

System.setProperty("javax.net.ssl.keyStore", "path/to/your/key");
System.setProperty("javax.net.ssl.keyStorePassword", "your-keystore-password");
System.setProperty("javax.net.ssl.keyStoreType", "JKS");
System.setProperty("javax.net.ssl.trustStore", "path/to/your/trust/keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "your-truststore-password");
System.setProperty("com.sun.net.ssl.dhKeyExchangeFix", "true");

服务器端

将客户端证书添加到服务器使用的信任存储区

这应该能起作用，如果一直有问题，请添加stacktrace（客户机和服务器）以查看发生了什么。

赞(0）回复(0）举报 2022-11-14

3hvapo4f2#

逐步说明。

请参阅SSL configuration for WebLogic Server，为客户端应用程序配置双向SSL和配置双向SSL。

keytool -genkey -alias server-alias -keyalg RSA -keypass changeit_0 -storepass changeit_1 -keystore server_keystore.jks -validity 1825
keytool -export -alias server-alias -storepass changeit_1 -file server.cer -keystore server_keystore.jks

keytool -genkey -alias client-alias -keyalg RSA -keypass changeit_2 -storepass changeit_3 -keystore client_keystore.jks -validity 1825
keytool -export -alias client-alias -storepass changeit_3 -file client.cer -keystore client_keystore.jks
#WLHOME\server\lib\cacerts
keytool -import -v -trustcacerts -alias client-alias -file client.cer -keystore cacerts -keypass changeit_2 -storepass changeit

Server->Keystores
Keystores: Custom Identity and Custom Trust
Custom Identity Keystore: server_keystore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: changeit_1
Custom Trust Keystore: <WLHOME>\server\lib\cacerts
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: changeit

Server->General
SSL Listen Port Enabled: true

Server->SSL
Private Key Alias: server-alias
Private Key Passphrase: changeit_0
Hostname Verification: None
Use Server Certs: true
Two Way Client Cert Behavior: Client Certs Requested and Enforced
SSLRejection Logging Enabled: true

1)服务信头。

@WebService
@Policy(uri = "policy:Wssp1.2-2007-Https-ClientCertReq.xml")

2)客户端处理程序解析器。

package org.ru5.test;

import java.util.*;
import javax.xml.namespace.QName;
import javax.xml.ws.*;

public class MustUnderstandHeadersHandler implements HandlerResolver {
    @Override
    public List<Handler> getHandlerChain(PortInfo portInfo) {
        final List<Handler> handlerList = new ArrayList<Handler>(1);
        handlerList.add(new MustUnderstandHeadersSOAPHandler());
        return handlerList;
    }

    private class MustUnderstandHeadersSOAPHandler implements SOAPHandler<SOAPMessageContext> {
        private static final String LOCAL_PART = "Security";
        private static final String PREFIX = "wsse";
        private static final String URI =
                "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";

        @Override
        public Set<QName> getHeaders() {
            final QName securityHeader = new QName(URI, LOCAL_PART, PREFIX);
            final Set<QName> headers = new HashSet<QName>();
            headers.add(securityHeader);
            return headers;
        }

        @Override
        public boolean handleMessage(SOAPMessageContext context) {
            return true;
        }

        @Override
        public boolean handleFault(SOAPMessageContext context) {
            return true;
        }

        @Override
        public void close(javax.xml.ws.handler.MessageContext context) {
        }
    }
}

赞(0）回复(0）举报 2022-11-14

gab6jxml3#

在更改Weblogic中的一个设置之前，我遇到了很多SSL和JAX-WS问题：我使用JSSE。这取决于weblogic的版本（10.3.x，x改变了一切），这可能是可能的，也可能是不可能的。它对我在10.3.3和10.3.5上工作，它们都是Weblogic 11 g。这个改变可以使用控制台（在安全性中，高级）或命令行-Dweblogic.security.SSL.enableJSSE=true来完成
原因是在以前的Oracle SSL实现中（如果不使用JSSE），根据算法和密钥大小，某些证书不被接受。此外，此实现使用不同的设置，并且不会将JSSE设置用于javax.net.ssl.keyStore...
我现在使用这个JSSE + -Djavax .NET.debug=ssl：verbose，一切都很清楚。

赞(0）回复(0）举报 2022-11-14

我来回答

Weblogic(10.3)中具有双向SSL的Web服务客户端(JAX-WS)无法完成握手

3条答案

逐步说明。

相关问题

热门标签

最新问答