Как настроить клиент Apache CXF для использования склада доверенных сертификатов WebSphere? (Получение исключения "Не найден доверенный сертификат".)
Сначала я начну с резюме. Я использую клиент Apache CXF для связи по SSL с поставщиком услуг Apache CXF, который использует самозаверяющий сертификат. Я импортировал сертификат в хранилище доверенных сертификатов WebSphere на клиентском сервере, но все еще получаю "javax.net.ssl.SSLHandshakeException: SSLHandshakeException, вызывающее https://somesvcprovider.com/appname/svc/myservice: com.ibm.jsse2.util.h: Не найден доверенный сертификат "исключение.
Теперь вот подробности:
У меня есть клиент веб-службы Apache CXF, который я настраиваю с помощью Spring, и клиент развертывается на сервере приложений WebSphere 6.1. Клиент CXF связывается с поставщиком услуг Apache CXF на другом сервере WebSphere. Связь использует SSL.
Поставщик услуг использует самозаверяющий сертификат. Я импортировал сертификат провайдера в склад доверенных сертификатов WebSphere на клиентском сервере через административную консоль. Я достиг этого, перейдя в SSL-сертификат и управление ключами> Конфигурации SSL> NodeDefaultSSLSettings > Хранилища ключей и сертификаты> NodeDefaultTrustStore > Сертификаты подписавшего; затем я использовал инструмент "Извлечь из порта" для импорта сертификата.
Тем не менее, я все еще получаю эту ошибку при попытке связаться с поставщиком услуг: "javax.net.ssl.SSLHandshakeException: SSLHandshakeException вызывая https://somesvcprovider.com/appname/svc/myservice: com.ibm.jsse2.util.h: Доверенный сертификат не найден ".
Файл конфигурации Spring выглядит следующим образом:
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:sec="http://cxf.apache.org/configuration/security"
xmlns:http="http://cxf.apache.org/transports/http/configuration"
xmlns:jaxws="http://cxf.apache.org/jaxws"
xsi:schemaLocation="
http://cxf.apache.org/configuration/security
http://cxf.apache.org/schemas/configuration/security.xsd
http://cxf.apache.org/transports/http/configuration
http://cxf.apache.org/schemas/configuration/http-conf.xsd
http://cxf.apache.org/jaxws
http://cxf.apache.org/schemas/jaxws.xsd
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">
<http:conduit name="*.http-conduit">
<!-- deactivate HTTPS url hostname verification (localhost, etc) -->
<!-- WARNING ! disableCNcheck=true should not used in production. -->
<http:tlsClientParameters disableCNCheck="true" />
</http:conduit>
<!-- Read properties from property file(s). -->
<bean id="propertyPlaceholderConfigurer"
class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="locations">
<list>
<!-- The *.spring.properties files are prefixed with a system property
that is set on the WebSphere server. -->
<value>classpath:spring.${my.env}.properties</value>
</list>
</property>
</bean>
<jaxws:client id="myServiceClient"
serviceClass="com.client.stub.cxf.IMyService"
address="${my.svc.url}" />
<bean id="myReport" class="com.client.MyReportRequestor">
<property name="client" ref="myServiceClient"/>
</bean>
</beans>
Как показано выше, клиент CXF вводится через установщик Spring. Код для связи с сервисом ниже:
List<String> formNames = client.retrieveNames(formIdsList);
Кроме того, я не знаю, связано ли это с этим, но при проверке объекта TLSClientParameters на клиенте CXF во время выполнения никакие диспетчеры доверия не возвращаются. Код для проверки приведен ниже:
// Get the trust managers for this client.
Client proxy = ClientProxy.getClient(client);
HTTPConduit conduit = (HTTPConduit) proxy.getConduit();
TLSClientParameters tls = conduit.getTlsClientParameters();
TrustManager[] trustManagers = tls.getTrustManagers(); // trustManagers is null
Что еще мне нужно сделать, чтобы клиент Apache CXF доверял самозаверяющему сертификату?
Я предпочитаю не указывать путь к хранилищу доверенных сертификатов вместе с паролем в файле конфигурации.
Спасибо!
4 ответа
Я не думаю, что вы можете использовать хранилища ключей WAS так же, как это с внешним компонентом (Apache CXF). Вы, вероятно, должны построить и использовать свой собственный TrustManager. Кажется, есть несколько рабочих примеров для этого.
Вероятно, CXF использует неправильную фабрику сокетов SSL.
Попробуйте добавить это в конфигурацию Spring:
<http-conf:conduit name="*.http-conduit">
<http-conf:tlsClientParameters useHttpsURLConnectionDefaultSslSocketFactory="true"/>
</http-conf:conduit>
Глядя на то, как работают CXF и WAS, довольно просто получить доступ к веб-сфере. SSLSocketFactory и передать его в CXF, используя исходящий перехватчик.
Если вы используете следующий класс:
public class WebsphereSslOutInterceptor extends AbstractPhaseInterceptor<Message> {
private String sslAlias = null;
public WebsphereSslOutInterceptor() {
super(Phase.SETUP);
}
public void handleMessage(Message message) throws Fault {
Conduit conduit = message.getExchange().getConduit(message);
if (conduit instanceof HTTPConduit) {
HTTPConduit httpConduit = (HTTPConduit)conduit;
String endpoint = (String) message.get(Message.ENDPOINT_ADDRESS);
if (endpoint != null) {
try {
URL endpointUrl = new URL(endpoint);
Map<String, String> connectionInfo = new HashMap<String, String>();
connectionInfo.put(
JSSEHelper.CONNECTION_INFO_REMOTE_HOST,
endpointUrl.getHost());
connectionInfo.put(
JSSEHelper.CONNECTION_INFO_REMOTE_PORT,
Integer.toString(endpointUrl.getPort()));
connectionInfo.put(
JSSEHelper.CONNECTION_INFO_DIRECTION,
JSSEHelper.DIRECTION_OUTBOUND);
SSLSocketFactory factory =
JSSEHelper.getInstance().getSSLSocketFactory(
sslAlias,
connectionInfo,
null);
TLSClientParameters tlsClientParameters = httpConduit.getTlsClientParameters();
if (tlsClientParameters != null) {
tlsClientParameters.setSSLSocketFactory(factory);
}
} catch (MalformedURLException e) {
throw new Fault(e);
} catch (SSLException e) {
throw new Fault(e);
}
}
}
}
public void setSslAlias(String sslAlias) {
this.sslAlias = sslAlias;
}
}
После этого вы сможете подключиться к SSLSocketFactory в Websphere и по желанию использовать параметры "Конфигурация SSL динамической исходящей конечной точки", чтобы указать любые клиентские сертификаты, указав перехватчик в jaxws:client тег:
<jaxws:client id="proxyName"
serviceClass="proxyClass"
address="${web.service.endpointaddress}">
<jaxws:outInterceptors>
<bean class="my.pkg.WebsphereSslOutInterceptor" />
</jaxws:outInterceptors>
</jaxws:client>
В сторону, если sslAlias собственность объявлена в WebsphereSslOutInterceptorсертификат клиента может быть выбран на основе его псевдонима.
Потому что это использует SSLSocketFactory от Websphere, хранилища доверия также будут использоваться от Websphere.
РЕДАКТИРОВАТЬ:
Я использовал CXF 2.3.6 и Websphere 6.1
Решение beny23 отлично работает для меня на WAS7 со следующими изменениями (причина: httpConduit.getTlsClientParameters() может быть нулевым):
Заменить эту часть:
TLSClientParameters tlsClientParameters = httpConduit.getTlsClientParameters();
if (tlsClientParameters != null) {
tlsClientParameters.setSSLSocketFactory(factory);
}
С этим:
TLSClientParameters tlsClientParameters = httpConduit.getTlsClientParameters();
if (tlsClientParameters == null) {
tlsClientParameters = new TLSClientParameters();
httpConduit.setTlsClientParameters(tlsClientParameters);
}
tlsClientParameters.setSSLSocketFactory(factory);