Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 5 sur 5
  1. #1
    Nouveau Membre du Club
    Inscrit en
    août 2006
    Messages
    117
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 117
    Points : 30
    Points
    30

    Par défaut Authentification par certificat dans un EJB

    Bonjour,

    J'ai un problème d'authentification par certificat lors de l'accès à un web service.

    J'ai développé un EJB, dans lequel je dois accéder à un web service. Pour accède à ce web service, il y a une authentification mutuelle SSL. Je dois donc renseigner quel "trustore" utiliser, et quel "keystore" utiliser.
    Pour ce faire j'utilise ceci :
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
     
    System.setProperty("javax.net.ssl.trustStoreType", props.getProperty("ejbca.truststoretype"));
            System.setProperty("javax.net.ssl.trustStore",props.getProperty("ejbca.truststore"));
            System.setProperty("javax.net.ssl.trustStorePassword",props.getProperty("ejbca.truststorepass"));  
     
            // Paramètres du keystore
            System.setProperty("javax.net.ssl.keyStoreType", props.getProperty("ejbca.keystoretype"));
            System.setProperty("javax.net.ssl.keyStore",props.getProperty("ejbca.keystore"));
            System.setProperty("javax.net.ssl.keyStorePassword",props.getProperty("ejbca.storepass"));
    Les paramètres que je récupère dans "props" sont valides.

    Néanmoins, lors de la connexion j'ai une erreur m'indiquant que la connexion est impossible car le certificat du serveur n'est pas reconnu comme étant de confiance. Je pense donc que le trustore et le keystore ne sont pas chargés. Avez-vous une idée pour régler ce problème ?

    Pour information, mon EJB est déployé sur un serveur Glassfish.

    Merci d'avance pour votre aide

  2. #2
    Membre confirmé
    Homme Profil pro
    Inscrit en
    octobre 2011
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2011
    Messages : 192
    Points : 263
    Points
    263

    Par défaut

    Comme ça difficile à dire, cela pourrait être un problème de chargement d'un des keystore, l'utilisation d'un mauvais algo dans la factory SSL, ...
    Pour avoir plus d'infos, tu peux démarrer ta vm avec l'option -Djavax.net.debug=all, cela te permettra de voire si tes autorités de certification sont bien chargées et si cela plante au niveau du handshake ou autre.

  3. #3
    Nouveau Membre du Club
    Inscrit en
    août 2006
    Messages
    117
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 117
    Points : 30
    Points
    30

    Par défaut

    Merci pour ta réponse. Ceci m'a permis de voir que ce n'est pas le truststore que j'indique dans le code qui est utilisé (indiqué via) :
    Code :
    1
    2
     
    System.setProperty("javax.net.ssl.trustStore",props.getProperty("ejbca.truststore"));
    Le truststore utilisé est celui de Glassfish.

    Connaissez-vous un moyen, d'indiquer quel truststore et quel keystore utiliser dans mon EJB. Il faudrait que cela se fasse dans mon code, car en fonction de la méthode appelée, je n'utilise pas le même certificat d'authentification.

    Il me faudrait quelquechose de similaire à :
    Code :
    1
    2
     
    System.setProperty("javax.net.ssl.trustStore", ...);
    Merci d'avance.

  4. #4
    Membre confirmé
    Homme Profil pro
    Inscrit en
    octobre 2011
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : octobre 2011
    Messages : 192
    Points : 263
    Points
    263

    Par défaut

    Etant donné que les paramètres javax.net.ssl.trustStore et javax.net.ssl.trustStore sont des paramètres globaux de la VM, tu ne pourras pas choisir tel ou tel certificat au runtime en fonction de ta méthode.
    Normalement, tu peux spécifier quel keystore et quel truststore utiliser au niveau de la connection HTTP de ton client SOAP, après, cela dépend de ton implémentation de client SOAP.
    Si cela peut t'aider, voilà un exemple dans lequel je spécifiais le keystore à utiliser pour ouvrir un Socket sur SSL:

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
     
    SSLContext sslContext = SSLContext.getInstance("SSL");
    SecureRandom random = SecureRandom.getInstance("SHA1PRNG", "SUN");
     
    //Chargement du keystore
    KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    KeyStore keyStore = KeyStore.getInstance("JKS");
    keyStore.load(new FileInputStream(keyStorePath), keystorePassword.toCharArray());
    keyManagerFactory.init(keyStore, keystorePassword.toCharArray());
     
    //Initialisation du contexte SSL
    sslContext.init(keyManagerFactory.getKeyManagers(), new TrustManager[] { new CustomTrustManager(keyStore) }, random);
    SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
     
    //Creation du socket SSL
    SSLSocket sslSocket = (SSLSocket) sslSocketFactory.createSocket(underlyingSocket, host, port, false);
    sslSocket.setEnabledCipherSuites(sslContext.getServerSocketFactory().getSupportedCipherSuites());
     
    //Auth SSL
    sslSocket.startHandshake();
     
    //Utiliser le socket
     
    InputStream is = sslSocket.getInputStream();
    OutputStream os = sslSocket.getOutputStream();

  5. #5
    Nouveau Membre du Club
    Inscrit en
    août 2006
    Messages
    117
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 117
    Points : 30
    Points
    30

    Par défaut

    Merci pour ta réponse. Ca a fonctionné. J'ai initialisé un "sslSocketFactory" et j'ai initialisé un HttpsURLConnection avant d'initialisé mon web service.

    Code :
    1
    2
     
    HttpsURLConnection.setDefaultSSLSocketFactory(sslSocketFactory);
    Merci encore pour ton aide.

+ Répondre à la discussion
Cette discussion est résolue.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •