Discussion :

[nabil.hachicha]

Bonjour,

Configuration

Glassfish v2 (cluster profile) JVM 1.5
OS (problème rencontré sur les trois OS Linux Ubuntu, Windows XP et Solaris 9)

Mon problème est le suivant :
J’essaye d’activer l’authentification mutuelle (client authentification)

Voici ma configuration SSL

J’ai un certificat serveur signé par une autorité de confiance locale.
J’ai importé la clé publique de l’autorité qui a signée le certificat dans cacert et keystore
J’ai importé le certificat serveur signé par l’autorité locale dans le keystore

J’ai précisé l’alias du certificat serveur au niveau du « Certificate NickName » dans http-listener-2 du serveur concerné

Je sauvegarde, j’arrête le node-agent puis le domaine et je redémarre le tout.

Je test avec IE https://mamachine:38181/ le handshake ssl se passe correctement

IE me signale (la pop up du warning) qu’il ne connaît pas la root autorité qui a signé le certificat envoyé par GF, c’est normal. J’installe la clé publique de mon autorité locale (qui a signée le certificat serveur) est là plus de warning.

Jusqu’ici tout va bien, le problème commence quand je veux activer l’authentification mutuelle (serveur client)

Alors :

Je créer un certificat client sur ma machine
Je signe cette certificat avec mon autoruté locale (la même qui signée mon certificat serveur)
J’export le certificat client au format PKCS12 pou pouvoir l’installer au niveau du navigateur
Tout se passe bien

Je configure Glassfish pour demander une authentification client, pour cela je coche la case, Client Authentication: enabled dans http-listener-2 du serveur concerné

Je sauvegarde est redémarre le domaine
J’installe le certificat client au niveau de mon navigateur et j’attaque l’URL https://mamachine:38181/ est la le serveur ne me demande pas de certificat client (le magasin des certificats client dans IE n’apparaît pas) le serveur réagit comme s’il s’agissait d’une authentification SSL simple -one way- )

J’ai configuré les logs au niveau FINEST (le plus détaillé possible mais je ne vois rien qui se passe)

Voilà si quelqu'un a une idée,

Merci de votre aide

[nabil.hachicha]

Bon je réponds à moi-même (en cas ou ça intéresse quelqu’un)

Si vous lisez l’anglais mon thread sur le forum officiel de glassfish: http://forums.java.net/jive/thread.j...55006&tstart=0


Pour résumé si vous installer un seul certificat client dans IE celui là est utilisé automatiquement (pas d’ouverture du magasin des certifs) j’ai rajouté un deuxième certificat et là IE me donne le choix.

A noter ce comportement n’est pas présent avec Firefox (celui là vous affiche comme même le certificat qu’il va envoyer au serveur)

Autre remarque :
Penser à activer le mode debug ssl <jvm-options>-Djavax.net.debug=ssl</jvm-options>
dans le fichier domain.xml (GF-ROOT>/domains/<domain>/config/domain.xml)
Vous pourrez apercevoir toute la transcation ssl (handshake) entre le client et le serveur (quel certificat, quel algorithme etc …)


Nabil.