[SSL] Connexion à un webservice via SSL

Version imprimable

Bonjour,

Je vous expose mon problème :
Je dois me connecter à un webservice protégé via SSL + Authentification BASIC.

Ce client m'a transmit 3 fichiers qui apparemment vont me servir à me connecter via SSL (les certificats apparemment) :
monfichier-cert.pem
monfichier-issuer.pem
monfichier-key.pem

Voici le code que j'utilise dans mon programme java pour me connecter à ce webservice :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 //Valider votre certificat serveur comme sûr System.setProperty("javax.net.ssl.trustStore", "chemin du fichier .keystore" ); System.setProperty("javax.net.ssl.trustStorePassword", "mot_de_passe_du_keystore" ); //Recherche du web service MONWSServiceLocator theWS = new ServiceETLServiceLocator(); theWS.setSIETLEndpointAddress("http://AdresseWeb.com/deMonWS/monWS" ); MONWSSoapBindingStub monSrv = (MONWSSoapBindingStub) theWS.getMONWS(); //Saisie du login et du pass pour authentification BASIC monSrv.setUsername("ici le login" ); monSrv.setPassword("ici le pass" ); //Appel du web service resultat = monSrv.moFonction(mesParam);
Le problème que je rencontre est le suivant :
Comment générer ce fichier .keystore nécessaire avec les 3 fichiers que m'a envoyé le client ?

Dans le cas où je ferais fausse route, pourriez-vous m'expliquer comment me connecter en SSL à ce webservice en utilisant ces 3 fichiers ?

Vous m'enlèveriez une sacrée épine du pied.

Merci à tous

22/05/2007, 12h26
Diablo_22

tu dois tout d'aabord generer le fichier keystore

Citation:

- Création des deux certificats client et serveur dans les magasins de clés :
Lancer l'invite de commande et tapez :
keytool -genkey -alias Client -keyalg RSA -keystore client_keystore -dname "cn=Client" -keypass password -storepass password

Puis ceci:
keytool -genkey -alias Server -keyalg RSA -keystore server_keystore -dname "cn=Server" -keypass password -storepass password

Avant de démarrer l'application, il faut vérifier que les fichiers keystores et les clés publiques générées en ligne de commande plus haut sont bien au même niveau que l'application a lancé.

Voici un exemple de serveur implémentant une connexion SSL : il accepte les connexions clientes et reçoit ce que tape le client en ligne de commande:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
import java.io.*;
import javax.net.ssl.*;
import java.security.KeyStore; //necessaire pour la gestion des magasins de clé
 
class Serveur {
    public static final int PORT = 15000;
    public static final String HOST = "127.0.0.1";
    public static final String KEYSTORE_FILE = "server_keystore";
    public static final String ALGORITHM = "sunx509";
    public static final String PASSWORD = "password";
 
    public static void main(String[] args) {
 
        try {
            SSLServerSocket ecoute = null;
            KeyManagerFactory kmf;
            KeyManager[] km;
            KeyStore ks;
            TrustManagerFactory tmf;
            TrustManager[] tm;
            SSLContext sslc;
            ks = KeyStore.getInstance("JKS");
            ks.load(new FileInputStream(KEYSTORE_FILE), PASSWORD.toCharArray());
            kmf = KeyManagerFactory.getInstance(ALGORITHM);
            kmf.init(ks, PASSWORD.toCharArray());
            km = kmf.getKeyManagers();
            tmf = TrustManagerFactory.getInstance(ALGORITHM);
            tmf.init(ks);
            tm = tmf.getTrustManagers();
            sslc = SSLContext.getInstance("TLS");
            sslc.init(km, tm, null);
            SSLServerSocketFactory ssf = sslc.getServerSocketFactory();
            ecoute = (SSLServerSocket) ssf.createServerSocket(PORT);
            SSLSocket c = (SSLSocket) ecoute.accept();
 
            BufferedReader entree = new BufferedReader(new InputStreamReader(c.getInputStream()));
            while (true) {
                try {
                    System.out.println(entree.readLine());
                } catch (IOException e) {
                    System.out.println("Erreur " + e);
                }
            }
        } catch (Exception e) {
            System.out.println(e);
        }
    }
}
 
 
Le client :
 
import java.io.*;
import javax.net.ssl.*;
import java.security.KeyStore;
 
class Client {
    public static final int PORT = 15000;
    public static final String HOST = "127.0.0.1";
    public static final String KEYSTORE_FILE = "client_keystore";
    public static final String ALGORITHM = "sunx509";
    public static final String PASSWORD = "password";
 
    public static void main(String[] args) {
        try {
            SSLSocket socket = null;
            KeyManagerFactory kmf;
            KeyStore ks;
            TrustManagerFactory tmf;
            SSLContext sslc;
            String line;
 
            kmf = KeyManagerFactory.getInstance(ALGORITHM);
            ks = KeyStore.getInstance("JKS");
            ks.load(new FileInputStream(KEYSTORE_FILE), PASSWORD.toCharArray());
            kmf.init(ks, PASSWORD.toCharArray());
            tmf = TrustManagerFactory.getInstance(ALGORITHM);
            tmf.init(ks);
            sslc = SSLContext.getInstance("TLS");
            sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
            SSLSocketFactory sf = sslc.getSocketFactory();
            socket = (SSLSocket) sf.createSocket(HOST, PORT);
            System.out.println("Client connecte\n");
 
            PrintWriter sortie = new PrintWriter(socket.getOutputStream(), true);
            BufferedReader br = new BufferedReader(new InputStreamReader(System.in));
            while (true) {
                try {
                    line = br.readLine();
                    sortie.println(line);
                    sortie.flush();
                } catch (IOException e) {
                    System.out.println("Erreur " + e);
                }
            }
        } catch (Exception e) {
            System.out.println(e);
        }
    }
}

Source: CodeGuru

J'ai avancé un peu sur la chose :
J'ai généré le keystore de cette manière :

Citation:

keytool -importcert -trustcacerts -alias cer_client -file cert.pem -keystore monkeystore.jks

keytool -importcert -trustcacerts -alias cer_client2 -file issuer.pem -keystore monkeystore.jks

A noter que j'ai dûe modifier le fichier "cert.pem" car au début keytool me disait que le fichier n'était pas un certificat valide. Après quelques recherche, j'ai viré la partie "lisible en clair" au début pour ne garder dans le certificat que la partie commençant par "-----------BEGIN CERTIFICATE---------"

Il me demande de donner un mot de passe à mon keystore ce que je fait.

En suite si je fait

Citation:

keytool -list -keystore monkeystore.jks

Il me liste bien mon certificat.

Maintenant, dans mon code, je fait :
Code:

1 2 3 4 System.setProperty("javax.net.ssl.trustStore", "c:/monkeystore.jks"); System.setProperty("javax.net.ssl.trustStoreType", "JKS"); System.setProperty("javax.net.ssl.trustStorePassword", "mon_mot_de_passe");
Et ensuite, j'appel le webservice.

Cependant, j'ai droit à une jolie erreur axis :

Citation:

AxisFault
faultCode: {http://schemas.xmlsoap.org/soap/envelope/}Server.userException
faultSubcode:
faultString: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
faultActor:
faultNode:
faultDetail:

Je dois pas être loin mais toujours pas :aie:

Si quelqu'un passe dans le coin ...

Merci

PS : Mais il sert à quoi ce fichier "key.pem" ?

Bon, je piétine un peu :

Avec openSSL, j'ai créé un fichier pkcs12 :
Code:

1 2 openssl pkcs12 -export -inkey key.pem -in cert.pem -out certif.p12
J'ai ajouté ce certificat à la banque de certificat de firefox et j'ai tenté de contacter l'url du webservice via firefox. Je sélectionne le certificat fraichement ajouté et ... ça marche. Je me retrouve sur une page me disant que je n'accède pas correctement au webservice mais je me connecte quand même au serveur donc le fichier pkcs12 est correct.

Je tente maintenant d'utiliser ce même fichier dans mon programme java en ramplcant 2 lignes :
Code:

1 2 3 4 System.setProperty("javax.net.ssl.trustStore", "C :/ monkeystore.p12" ); System.setProperty("javax.net.ssl.trustStoreType", "PKCS12" ); System.setProperty("javax.net.ssl.trustStorePassword", "motdepasse");
Et là .... même foutue erreur :

Citation:

AxisFault
faultCode: {http://schemas.xmlsoap.org/soap/envelope/}Server.userException
faultSubcode: faultString: javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable tofind valid certification path to requested target
faultActor:
faultNode:
faultDetail:

Je sais vraiment plus quoi faire ...

PS : Note aux modérateurs : Si vous pouviez déplacer ce sujet dans la rubrique "Java > Webservices", peut-être aurais-je plus de réponse ?

Merci

20/11/2007, 19h24
sjachym

Bonjour, j'ai exactement le même problème non résolu.

NoiBe, au final, as tu réussis à te connecter au WebService en SSL ? et comment ?
29/05/2008, 11h22
nemane82

Connexion à un web service via SSL

Bonjour,
Je me permet de vous contacter, par ce que j'ai le même problème que vous avez rencontré, il y a un peu de temps sur la connexion à un webservice vic SSL.

J'ai reçu trois certificats du client, j'ai essayé de génerer le keystore avec keytool -import; Quand j'ai testé, j'ai eu le droit de cette erreur :
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

En fait je voulais savoir si vous avez une idée?
Merci d'avance.