Discussion :

[HunTR]

bonjour à tous,

Je vais vous expliquer le problème que je rencontre.

Je fais une application client / serveur, avec des sockets SSL.

Voici le code du serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
import java.io.FileNotFoundException;
import java.io.IOException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
 
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;
import javax.net.ssl.TrustManagerFactory;
 
public class EchoServer {
 
	/** Algorihtme de certification. */
	public static final String ALGORITHM = "sunx509";
 
	/** Type du conteneur keystore. */
	public static final String KEYSTORE_TYPE = "JKS";
 
	/** Protocole SSL à utiliser. */
	public static final String PROTOCOL = "TLS"; 
 
	static Thread t;
 
	public static void main(String[] arstring) {
 
		// Récupérer les infos.
		final int port = 9999;
		final String keystorePath = "mySrvKeystore";
		final String keystorePass = "123456";
 
		// Les objets que l'on va utiliser.
 
		SSLServerSocket sslserversocket = null;
		SSLServerSocketFactory sslserversocketfactory = null;
		KeyManagerFactory kmf = null;
		KeyStore ks = null;
		TrustManagerFactory tmf = null;
		SSLContext sslc = null;
 
		// Récupérer la keystore et charger le fichier.
		try {
 
			System.out.print("Récupération du keystore... ");
			ks = KeyStore.getInstance(KEYSTORE_TYPE);
 
			ks.load(ClassLoader.getSystemResourceAsStream(keystorePath),
					keystorePass.toCharArray());			
			System.out.print("OK\n");
 
		} catch (KeyStoreException e) {
			e.printStackTrace();
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (CertificateException e) {
			e.printStackTrace();
		} catch (FileNotFoundException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
 
		// Récupérer une instance d'un KeyManagerFactory et l'initialiser.
		try {
			System.out.print("Récupération et configuration du KeyManager...");
			kmf = KeyManagerFactory.getInstance(ALGORITHM);
			kmf.init(ks, keystorePass.toCharArray());
			System.out.print(" OK\n");
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (UnrecoverableKeyException e) {
			e.printStackTrace();
		} catch (KeyStoreException e) {
			e.printStackTrace();
		}
 
 
		// Récupérer une instance d'un TrustManagerFactory et l'initialiser.
		try {
			System.out.print("Récupération et configuration du Trust... ");
			tmf = TrustManagerFactory.getInstance(ALGORITHM);
			tmf.init(ks);
			System.out.print("OK\n");
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (KeyStoreException e) {
			e.printStackTrace();
		}
 
 
		// Récupérer une instance d'un SSLContext et l'initialiser.
		try {
			System.out.print("Récupération et configuration de SSL ... ");
			sslc = SSLContext.getInstance(PROTOCOL);
			sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
			System.out.print("OK\n");
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (KeyManagementException e) {
			e.printStackTrace();
		}
 
		// Récupérer une instance d'une fabrique à socket SSL,
		// puis intancier une socket.
		sslserversocketfactory = sslc.getServerSocketFactory();
		try {
			System.out.print("Récupération et configuration de SSL fac ... ");
			sslserversocket = (SSLServerSocket) sslserversocketfactory.createServerSocket(port);
			sslserversocket.setUseClientMode(false);
			sslserversocket.setNeedClientAuth(true);
			t = new Thread(new Accepter_connexion(sslserversocket));
			t.start();
			System.out.println("Lancement");
			System.out.print("OK\n");
 
 
		} catch (IOException e) {
			e.printStackTrace();
		}
 
	}
 
}

Celui de mon client :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
 
package fr.astre.client;
 
import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.File;
import java.io.FileNotFoundException;
import java.io.FileWriter;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
 
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;
 
 
public final class Client {
 
	boolean error = true;
 
	/** Trame d'authentification. */
	private String login = null;
	private String mdp = null;
 
	/** Algorihtme de certification. */
	public static final String ALGORITHM = "sunx509";
 
	/** Type du conteneur keystore. */
	public static final String KEYSTORE_TYPE = "JKS";
 
	/** Protocole SSL à utiliser. */
	public static final String PROTOCOL = "TLS";
 
	/** Canaux de communication. */
	private PrintWriter out;
	private BufferedReader in;
 
	private BufferedWriter fileCfg = null;
	private SSLSocket socket = null;
 
	/**
         * @param args
         *            host, port, keystore, pass.
         * @throws KeyStoreException
         * @throws KeyStoreException
         * @throws IOException
         * @throws FileNotFoundException
         * @throws CertificateException
         * @throws NoSuchAlgorithmException
         * @throws IOException
         * @throws FileNotFoundException
         * @throws CertificateException
         * @throws NoSuchAlgorithmException
         * @throws UnrecoverableKeyException
         * @throws UnrecoverableKeyException
         * @throws KeyManagementException
         * @throws KeyManagementException
         */
	public Client(String login, String mdp) throws KeyStoreException,
			NoSuchAlgorithmException, CertificateException,
			FileNotFoundException, IOException, UnrecoverableKeyException,
			KeyManagementException {
 
		this.login = login;
		this.mdp = mdp;
 
		// Récupérer les infos.
		final String host = "127.0.0.1";
		final int port = 9999;
		final String keystorePath = "mySrvKeystore";
		final String keystorePass = "123456";
 
 
		// Les objets que l'on va utiliser.
		// SSLSocket socket = null;
		SSLSocketFactory sslsf = null;
		KeyManagerFactory kmf = null;
		KeyStore ks = null;
		TrustManagerFactory tmf = null;
		SSLContext sslc = null;
 
		// Récupérer la keystore et charger le fichier.
		ks = KeyStore.getInstance(KEYSTORE_TYPE);
		ks.load(ClassLoader.getSystemResourceAsStream(keystorePath), keystorePass.toCharArray());
 
		// Récupérer une instance d'un KeyManagerFactory et l'initialiser.
		kmf = KeyManagerFactory.getInstance(ALGORITHM);
		kmf.init(ks, keystorePass.toCharArray());
 
		// Récupérer une instance d'un TrustManagerFactory et l'initialiser.
		tmf = TrustManagerFactory.getInstance(ALGORITHM);
		tmf.init(ks);
 
		// Récupérer une instace d'un SSLContext et l'initialiser.
		sslc = SSLContext.getInstance(PROTOCOL);
		sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
 
		// Récupérer une instance d'une fabrique à socket SSL,
		// puis intancier une socket.
		sslsf = sslc.getSocketFactory();
 
		try {
			socket = (SSLSocket) sslsf.createSocket(host, port);
			out = new PrintWriter(socket.getOutputStream());
			in = new BufferedReader(new InputStreamReader(socket
					.getInputStream()));
			error = false;
 
		} catch (java.net.ConnectException e) {
			// TODO Auto-generated catch block
			System.err.println("Client : " + e.getMessage());
			error = true;
			/**
                         * Erreurs possibles : Firewall qui bloque l'ouverture d'une socket
                         * Serveur distant non joignable
                         * 
                         * 
                         */
 
		}
 
	}
 
	public boolean Connexion() {
		boolean succes = false;
		String temp;
		if (!this.error) {
			try {
 
				// Réponse du serveur
				temp = in.readLine();
				System.out.println("Serveur 1: '" + temp + "'");
				if (temp.equals(dial.getAuthLog())) {
					out.println(login);
					out.flush();
 
					temp = in.readLine();
					System.out.println("Serveur 2: '" + temp + "'");
 
					if (temp.equals(dial.getAuthMdp())) {
 
						out.println(mdp);
						out.flush();
 
						temp = in.readLine();
						System.out.println("Serveur 3: '" + temp + "'");
 
						if (temp.equals(dial.getAuthSucc())) {
							temp = in.readLine();
							System.out.println("Serveur 4: '" + temp + "'");
 
							if (temp.equals(dial.getSendCfg())) {
								System.out.println("Reception FIchier ??");
								// Si le fichier est bien réceptionné alors on
								// ferme la
								// connexion
								if (this.recpFile()) {
									this.close();
									succes = true;
								}
 
							}
						} else if (temp.equals(dial.getAuthFail())) {
							this.close();
						}
					}
				}
			} catch (IOException e) {
				// TODO Auto-generated catch block
				// e.printStackTrace();
				this.close();
			}
 
		}
 
		return succes; // retourne true si ok
	}
 
	private void close() {
		/**
                 * Averti le serveur que le client ferme la connexion
                 */
		out.println(dial.getDecoCli());
		out.flush();
		try {
			socket.close();
			System.out.println("La connexion a été fermée.");
		} catch (IOException e) {
			// TODO Auto-generated catch block
			System.out.println(e.getMessage());
		}
	}

Est ce que j'utilise la bonne méthode pour utiliser les certificats ?

Pour générer le keystore j'ai utiliser cette commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
keytool -genkey -keystore mySrvKeystore -keyalg RSA

le fichier généré ( mySrvKeystore ) a été ajouté au buildpath du client et du serveur.
Pour qu'il puisse lire les infos dedans.

Le problème c'est que si le client a le même fichier que le serveur au niveau sécurité ça ne sert à rien non ???

Dans le principe des clés privées/publiques il y a un fichier pour le serveur et un pour le client qui sont différents. Comment puis-je résoudre ce problème ?

Merci à tous !



J'ai utiliser en gros ce tuto :
http://stilius.net/java/java_ssl.php

[HunTR]

Personne pour m'aider à comprendre ?
J'ai beau chercher sur internet, je ne trouve pas grande chose de compréhensible.

[Marco46]

D'un point de vue purement théorique,
ton serveur possède un magasin contenant une clef privée associée à une clef publique.
Côté client, le certificat (donc la clef publique) du serveur doit être accessible pour pouvoir vérifier la validité du certificat.

Le client et le serveur se disent bonjour.
Le serveur envoie au client son certificat pour que le client vérifie qu'il est valide.
Le client envoie son certificat pour que le serveur vérifie si le client à le droit de se connecter et si son certificat est valide (cette étape est optionnelle si on ne gère pas l'authentification).
Le client envoie une clef symétrique (3DES, AES, ...) chiffrée avec la clef publique du serveur.
La connexion est initiée.

Je suis certain que si tu cherches dans la section JCE (Java Cryptographie Extension) du site de Sun tu trouveras un exemple fonctionnel. Ici par exemple.

[HunTR]

ba d'accord, très bien j'ai compris !
En fait dans le keystore que j'ai créer il y a toute les clés. Donc je dois générer à partir de ce keystore, le keystore pour le client :

donc en faisant :

% keytool -export -alias duke -keystore keystore -rfc \
-file duke.cer

% keytool -import -alias dukecert -file duke.cer \
-keystore truststore

Banco je teste ça et je te dis merci.

[HunTR]

bon et bien en suivant la procédure : " Creating a Keystore to Use with JSSE

Creating a Simple Keystore and Truststore"

j'ai une erreur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
 
javax.net.ssl.SSLException: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.checkEOF(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppInputStream.read(Unknown Source)
	at sun.nio.cs.StreamDecoder.readBytes(Unknown Source)
	at sun.nio.cs.StreamDecoder.implRead(Unknown Source)
	at sun.nio.cs.StreamDecoder.read(Unknown Source)
	at java.io.InputStreamReader.read(Unknown Source)
	at java.io.BufferedReader.fill(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at Authentification.run(Authentification.java:35)
	at java.lang.Thread.run(Unknown Source)
Caused by: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.clientCertificate(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.processMessage(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.writeRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppOutputStream.write(Unknown Source)
	at sun.nio.cs.StreamEncoder.writeBytes(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlushBuffer(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlush(Unknown Source)
	at sun.nio.cs.StreamEncoder.flush(Unknown Source)
	at java.io.OutputStreamWriter.flush(Unknown Source)
	at java.io.BufferedWriter.flush(Unknown Source)
	at java.io.PrintWriter.flush(Unknown Source)
	at Authentification.run(Authentification.java:34)
	... 1 more

pourtant je pensais y arriver avec cette procédure, ça paraissait logique en plus...

Quelqu'un en connait plus la dessus ?

[HunTR]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sslserversocket.setNeedClientAuth(false);

Si dans mon server je met ça, ça fonctionne..
Mais est ce que c'est bien au niveau de la sécurité ??

[Invité]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sslserversocket.setNeedClientAuth(false);

Si dans mon server je met ça, ça fonctionne..
Mais est ce que c'est bien au niveau de la sécurité ??

Si tu mets cette ligne, cela signifie que n'importe qui peut se connecter au server sans avoir à s'identifier auprès de lui pour être autorisé. Donc la réponse est : tout dépend de ce que tu veux faire. Si c'est un serveur public, alors il vaut mieux ne pas demander aux clients de s'identifier (amazon ne te le demande, ta banque (hélas) non plus en général, ...)
Si tu mets à vraie, alors tu dois aussi dire à ton serveur les certificats acceptés pour identifier les clients (dans un autre keystore), et chaque client voulant se connecter à ton serveur, devra avoir un certificat valide et eaccepté.
Niveau sécurité tout dépend... Si tu fais un magasin en ligne (pour reprendre amazon), tu souhaites que tout le monde puisse y accèder mais que les clients soient sûrs de l'identité du server, donc l'authentification client n'est pas nécessaire. Si tu veux protéger ton serveur pour que seuls les utilisateurs autorisés puissent y accéder, alors il est plus sûr de demander cette authentification, mais tu dois gérer un plus grand nombre de certificats pour avoir une vraie sécurité, ainsi qu'une CA chapotant le tout. Dans ce cas là les CRLs, ou un répondeur OCSP (soyons fou !) sont plus que largement indiqués, car tu brasses un plus grand nombre de certificats (contre juste un seul pour le server sans l'authentification client) disséminés un peu partout, donc les risques de corruption sont plus grands.

Bref pour te répondre il faut savoir ce qu#est ton but

A plus

[HunTR]

d'accord c'est bien se que je pensais..
C'est un application non orienté web. En gros il y a une application desktop déployé avec java web start, où chaque client se connecte à un serveur ( en SSL) avec une authentification. En fait je veux utiliser le SSL pour pas que les identifiants et mot de passe circulent en clair sur le réseau.

Donc j'ai générer un keystore pour le serveur qui contient 2 clés. ( keytool -genkeypair )
et à partir de celui là j'ai fais créer un keystore contenant uniquement la clé publique ( avec le lien de Marco46 http://java.sun.com/javase/6/docs/te...ERefGuide.html ).

Et là j'ai l'exception suivante qui est déclenché sur un flush coté serveur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
javax.net.ssl.SSLException: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.checkEOF(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppInputStream.read(Unknown Source)
	at sun.nio.cs.StreamDecoder.readBytes(Unknown Source)
	at sun.nio.cs.StreamDecoder.implRead(Unknown Source)
	at sun.nio.cs.StreamDecoder.read(Unknown Source)
	at java.io.InputStreamReader.read(Unknown Source)
	at java.io.BufferedReader.fill(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at Authentification.run(Authentification.java:35)
	at java.lang.Thread.run(Unknown Source)
Caused by: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.clientCertificate(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.processMessage(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.writeRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppOutputStream.write(Unknown Source)
	at sun.nio.cs.StreamEncoder.writeBytes(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlushBuffer(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlush(Unknown Source)
	at sun.nio.cs.StreamEncoder.flush(Unknown Source)
	at java.io.OutputStreamWriter.flush(Unknown Source)
	at java.io.BufferedWriter.flush(Unknown Source)
	at java.io.PrintWriter.flush(Unknown Source)
	at Authentification.run(Authentification.java:34)
	... 1 more

NB : Dans l'application client je joins j'ajoute au buildpath le trustStore.

[Invité]

d'accord c'est bien se que je pensais..
C'est un application non orienté web. En gros il y a une application desktop déployé avec java web start, où chaque client se connecte à un serveur ( en SSL) avec une authentification. En fait je veux utiliser le SSL pour pas que les identifiants et mot de passe circulent en clair sur le réseau.

Donc j'ai générer un keystore pour le serveur qui contient 2 clés. ( keytool -genkeypair )
et à partir de celui là j'ai fais créer un keystore contenant uniquement la clé publique ( avec le lien de Marco46 http://java.sun.com/javase/6/docs/te...ERefGuide.html ).

Et là j'ai l'exception suivante qui est déclenché sur un flush coté serveur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
javax.net.ssl.SSLException: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.checkEOF(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppInputStream.read(Unknown Source)
	at sun.nio.cs.StreamDecoder.readBytes(Unknown Source)
	at sun.nio.cs.StreamDecoder.implRead(Unknown Source)
	at sun.nio.cs.StreamDecoder.read(Unknown Source)
	at java.io.InputStreamReader.read(Unknown Source)
	at java.io.BufferedReader.fill(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at java.io.BufferedReader.readLine(Unknown Source)
	at Authentification.run(Authentification.java:35)
	at java.lang.Thread.run(Unknown Source)
Caused by: javax.net.ssl.SSLHandshakeException: null cert chain
	at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.clientCertificate(Unknown Source)
	at com.sun.net.ssl.internal.ssl.ServerHandshaker.processMessage(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Unknown Source)
	at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.writeRecord(Unknown Source)
	at com.sun.net.ssl.internal.ssl.AppOutputStream.write(Unknown Source)
	at sun.nio.cs.StreamEncoder.writeBytes(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlushBuffer(Unknown Source)
	at sun.nio.cs.StreamEncoder.implFlush(Unknown Source)
	at sun.nio.cs.StreamEncoder.flush(Unknown Source)
	at java.io.OutputStreamWriter.flush(Unknown Source)
	at java.io.BufferedWriter.flush(Unknown Source)
	at java.io.PrintWriter.flush(Unknown Source)
	at Authentification.run(Authentification.java:34)
	... 1 more

NB : Dans l'application client je joins j'ajoute au buildpath le trustStore.

L'authentification client n'est pas nécessaire pour crypter les données qui transitent. Elle est juste là si tu ne veux autoriser que certains clients sur lesquels tu as complètement le contrôle, et si en plus tu veux pouvoir savoir quel client exactemewnt s'est connecté. Ton exception vient du fait que tu demandes une authentification client, donc tu demandes á ce que le client t'envoie son certificat (en gros...), seulement le client ne le fait pas (car il n'en a pas), d'où le "null cert chain". Si ton appli est distribuée par java web start et que chacun peut y accéder alors je ne vois pas pourquoi tu devrais demander une authentification client car :

• soit tu as un seul certificat pour ton appli, et tout le monde le reçois avec l'appli, on perd vraiment en intérêt...
• soit tu demandes aux personnes de d'abord avoir un certificat de ta CA avant de pouvoir utiliser l'appli, et on perd un peu l'intérêt de JWS (en demandant une installation), en plus ça te fera un travail monstre car si des milliers de personnes veulent utiliser ton appli, tu vas coruler sous les requêtes de certificat, il faudra aussi bien géré les révocations etc etc...

A plus

[HunTR]

Juste un dernier point, dans mon cas le truststore sert à quoi en fait ?

Merci pour tes réponses, c'est devenu beaucoup plus explicite pour moi.
Je désactive donc l'authentification.
Une foi de plus, j'apprécie ce forum d'entre aide !
Merci beaucoup

[Invité]

Tu parles tu truststore côté client ou serveur ?
Côté serveur il jne te sert à rien si tu ne fais pas d'authentification client.
Côté client il sert à assurer la deuxième fonctionnalité de SSL : être sûr qu'on parle avec quelqu'un qui est ce qu'il prêtant être. Donc le serveur t'envoie son certificat et toi tu regardes dans ton truststore si ce certificat est connu ou s'il est signé par une autorité à qui tu fais confiance.
J'espère que ça s'éclaire

A plus

[HunTR]

ba il me manque des notions la dessus car j'ai rien compris.
Tu n'as pas un lien où c'est expliqué ? ( du style les keystores pour les nuls )

je parlais du truststore pour le client en fait, puisque j'avais chargé le keystore dans le serveur. Je dois mélanger plein de truc...

Si tu souhaites me répondre, c'est bien, sinon c'est pas grave j'y reviendrai plus tard. Car je ne vais pas utiliser l'authentification client. Après pour la culture je suis ouvert

[Invité]

Salut,

Apparemment il te manque les notions de PKI (Public Key Infrastructure), sur le fonctionnement de SSL (et ses intérêts), dans un cas purement utilisateur, wikipedia est un bon point de départ
Pour ce qui est de keystore/truststore, c'est une petite différence sémantique pas énorme: techniquement c'est la même chose, l'utilisation donne la différence de vocabulaire:

• un keystore, comme son nom l'indique est une magasin contenant des clefs ! En fait c'est un conteneur qui contient les pairs clef privée/clef publique de l'utilisateur qu'il peut utiliser
• un truststore, toujours d'après le nom, est un magasin contenant les clef publiques auxquelles un utilisateur fait confiance.

En gros c'est le même type de fichier (jks), la même structure, mais dans l'un on trouvera ses propres clefs, dont la clef privée, nous permettant de déchiffrer/signer/s'authentifier, dans le second on trouvera les clerfs publiques d'autres personnes (ou server) nous permettant de chiffrer/vérifier une signature/une identité.
On peut bien sûr mélanger le tout et avoir un fichier qui sert à stocker ses propres clefs et les clefs des autres, mais c'est plus propre (et je dirais aussi plus sûr) de séparer les deux. Il est aussi important de protéger les deux par mot de passe afin d'éviter

• qu'on te vole tes clefs privées
• qu'on t'ajoute une clef publique tierce non souhaitée

Mais bon je t'invite à lire un peu de doc sur les PKI (je t'épargne les RFC tant que tu ne souhaites pas te lancer dans la création d'une CA, mais pour utiliser correctement SSL et le comprendre il faut comprendre les PKI)

A plus

[HunTR]

ba c'est bien ce que je pensais, mais je ne comprends pas pourquoi avec l'authentification ça ne passe pas.

J'ai fais exactement ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
keytool -genkeypair -alias duke -keyalg RSA  -validity 7 -keystore keystore 
// ça génére un keystore avec les 2 clés privés et publiques
 
keytool -export -alias duke -keystore keystore -rfc -file duke.cer
//ça donne un certificat avec la clé publique ???
 
keytool -import -alias dukecert -file duke.cer -keystore truststore
//ça créer un truststore pour le client avec seulement la clés publique et le certificat ?

keystore pour le serveur et truststore pour le client, mais ça ne fonctionne pas et ça sort l'erreur que je t'ai montré.

J'avais tout de même regarder comment le ssl fonctionnait, y a t-il des exemples en java ? qui gère directement les keystore dans le code?

car souvent je vois qu'il ne tienne pas compte des keystore dans le code, mais il utilise : " java -Djavax.net.ssl.keyStore=mySrvKeystore -Djavax.net.ssl.keyStorePassword=123456 EchoServer" pour lancer les applications.

Merci de ta volonté pour me répondre

[Invité]

C'est ce que j'ai ditz plus haut. Si tu veux une authentification client (ce qui dans ton cas me parait inutile) il FAUT que ton client s'authentifie auprès du serveur. Pour ce faire il doit envoyer son certificat personnel, donc ton client a besoin d'un truststore pour accepter le certificat du serveur ET d'un keystore avec un certificat personnel qui sera utilisé pour s'authentifier. Le serveur quant à lui aura un keystore pour déchiffrer et s'authentifier auprès des clients ET un truststore contenant les certificats acceptés ou les CAs acceptées.
Bref, tu as toutes les informations sur le pourquoi de l'exception et sur le comment la résoudre dans cette discussion.
Encore une fois : est-ce que ton appli sera largement distribuée ou pas ? Si oui vire moi cette authentification client qui changerait rien. Si non, la deuxième question est : veux tu t'occuper de gérer un certificat par installation de ton appli (comme en plus c'est du JWS, ça va devenir trés lourd pour toi et pour l'utilisateur). De plus il faudra que l'utilisateur donne son mot de passe de keystore en plus, car si le mot de passe est écrit dans le code ou un fichier de conf, autant de rien chiffrer ^^
la sécurité c'est pas facile, y'a pas vraiment de règle fixe dans le cas général, il faut voir avec les contraintes et le cahier des charges pour savoir ce que "sûr" signifie dans ton cas. L'authentification client n'ajoute aucune sécurité quant au chiffrement des données via SSL, il sert surtout à identifier les clients auprès du serveur.

A plus

EDIT : un certificat ne contient que des informations publiques, donc uniquement la clef publique. Le certificat a pour but d'être distribué à tout le monde pour permettre de chiffrer des données, vérifier une signature ou identifier une personne

[HunTR]

Comment dire, tu es au top !
Merci pour les explications, j'ai bien compris donc je reste bien sans l'authentification, qui ne sert à rien pour moi. C'est très gentil de ta part.

A bientôt

[HunTR]

Salut à tous,

le mois dernier je vous faisais part de mon problème avec ces fabuleux keystore.
Et bien j'ai fais mon client serveur en SSL et tout fonctionne au top !

Mais lorsque je déploie mon client via Java Web Start, là ça se corse..
Dès que j'utilise le socket ssl j'obtient du coté du serveur : "Received fatal alert : certificate_unknown" ( c'est juste le message )

et coté client :


javax.net.ssl.SSLException: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.checkEOF(Unknown Source)
at com.sun.net.ssl.internal.ssl.AppInputStream.read(Unknown Source)
at sun.nio.cs.StreamDecoder.readBytes(Unknown Source)
at sun.nio.cs.StreamDecoder.implRead(Unknown Source)
at sun.nio.cs.StreamDecoder.read(Unknown Source)
at java.io.InputStreamReader.read(Unknown Source)
at java.io.BufferedReader.fill(Unknown Source)
at java.io.BufferedReader.readLine(Unknown Source)
at java.io.BufferedReader.readLine(Unknown Source)
at fr.astre.ToServer.Client.Authentification(Client.java:143)
at fr.astre.ToServer.Client.getFichier(Client.java:283)
at fr.astre.ihm.authSer$OkAction$1.run(authSer.java:250)
at java.lang.Thread.run(Unknown Source)
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(Unknown Source)
at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(Unknown Source)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(Unknown Source)
at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Unknown Source)
at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.writeRecord(Unknown Source)
at com.sun.net.ssl.internal.ssl.AppOutputStream.write(Unknown Source)
at sun.nio.cs.StreamEncoder.writeBytes(Unknown Source)
at sun.nio.cs.StreamEncoder.implFlushBuffer(Unknown Source)
at sun.nio.cs.StreamEncoder.implFlush(Unknown Source)
at sun.nio.cs.StreamEncoder.flush(Unknown Source)
at java.io.OutputStreamWriter.flush(Unknown Source)
at java.io.BufferedWriter.flush(Unknown Source)
at java.io.PrintWriter.flush(Unknown Source)
at fr.astre.ToServer.Client.getFichier(Client.java:281)
... 2 more
Caused by: sun.security.validator.ValidatorException: No trusted certificate found
at sun.security.validator.SimpleValidator.buildTrustedChain(Unknown Source)
at sun.security.validator.SimpleValidator.engineValidate(Unknown Source)
at sun.security.validator.Validator.validate(Unknown Source)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(Unknown Source)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(Unknown Source)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(Unknown Source)
... 18 more


Donc pour vous expliquer comment j'en suis arrivé là :

J'ai signer mon jar pour le déployer via javaweb start. Donc là pas de problème l'application se lance mais la socket ssl m'affiche cette erreur.

Alors je me dis qu'il ne reconnait pas à cause de cette signature donc je signe le jar avec le keystore dont je me sers pour les sockets ssl et là pareil.


Quelqu'un peut il m'expliquer le principe de mon erreur ?
Merci à vous

[Invité]

Salut,

On en revient à la même question et au même problème
Ton client envoie un certificat inconnu du serveur, ou n'en envoie pas apparemment. Quel keystore utilises-tu côté client ? Comment établis tu la connexion SSL ? Le serveur accepte quels certificats ?

A plus

[HunTR]

Le problème du keystore pour le SSL n'est pas vraiment un problème puisque, lorsque je lance l'application avec Eclipse ça fonctionne, mais si je le lance via le jnlp ça ne fonctionne plus.

Donc c'est Java Web Start qui est en cause. Comme mon application a besoin des accès au disque dur local, il faut lui donner les autorisations, donc une signature.

j'utilise le keystore du client pour signer le jar.

Est ce que tu me comprends ?

Si tu ne vois pas ce que je veux dire, je t'enverrai demain un mini mini projet client serveur dont le client sera déployé avec java web start

[Invité]

A vue de nez je ne pense pas que la signature soit en cause, c'est deux choses complètement différentes !
Si tu as un petit projet minimal avec les keystore approprié, ça m'aiderait à comprendre c'est sûr.
Je pencherais vraiment pour une différence entre les keystores dasn ta version JWS, mais j'avoue ne pas pouvoir en dire plus pour le moment !