Powered by Invision Power Board


  Reply to this topicStart new topic

> SSL: Zertifikat downloaden, ...ohne Sicherheit einzubüßen
Thema abonnieren | Link zum Thema versenden | Thema drucken
Keeper
  geschrieben am: 20.04.2010, 10:32
Quote Post





Gruppe: Mitglieder
Beiträge: 122
Mitglieds-Nr.: 189
Mitglied seit: 26.09.2004
Hallo Forum!

Oh man, es ist eine Ewigkeit her, dass ich das letzte mal hier war. Leider scheint hier nicht mehr allzu viel los zu sein, aber NetPanther postet immer noch fließig News :) Wie sieht es mit dem IRC Channel aus? Ist der noch am Leben? Gibt es Blue Cobold noch?

So, nun aber zur Sache wink.gif

Ich programmiere momentan einen HTTPS-Client für meinen Job. Die Form der Anfragen ist erstmal unwichtig; Ich hänge momentan eher an der Sache mit den Zertifikaten.
Ich habe es bisher geschafft, auf den HTTPS-Server zuzugreifen, indem ich quasi alle Sites als "trusted" markiere. Das ist natürlich nicht Sinn der Sache.
Wenn ich aber über diese Methode auf den Server zugreife, kann ich sein Zertifikat herunterladen, in meinen TrustStore/KeyStore schreiben und im folgenden auch OHNE diesen Umweg mit dem Server kommunizieren - so, wie es ja auch sein soll.

Das Problem liegt also im Folgenden:
Wie kann ich das Zertifikat vom Server laden, ohne Sicherheit einzubüßen? Wenn ich es herunterladen will, ohne es bereits im TrustStore zu haben, meckert er natürlich, dass ich das Zertifikat nicht habe wink.gif Runterladen geht also nur über die unsichere Schiene.

Kann mir da jemand helfen? Das Internet ist zum Thema JSSE leider nicht so aussagekräftig sad.gif

Viele Grüße, Tim

P.S.: Ein bisschen Code?

Erstellt einen Verifier, dem Zertifikate egal sind:
CODE
HostnameVerifier hv = new HostnameVerifier()
 {
 

 @Override
 public boolean verify(String hostname, SSLSession session) {
  // TODO Auto-generated method stub
  System.out.println("Warning: URL Host: " +host+ " vs. "
    + session.getPeerHost());
    return true;
 }
 };




--------------------
user posted image
PMEmail PosterUsers WebsiteICQ
Top
NetPanther
geschrieben am: 21.04.2010, 09:35
Quote Post


Administrator


Gruppe: Administratoren
Beiträge: 7.696
Mitglieds-Nr.: 1
Mitglied seit: 29.08.2004
Guten Morgen Keeper,

schön dich mal wieder hier zu sehen. wink.gif Schau dir zum Herunterladen eines Zertifikats mal nachfolgendes Beispiel an. Das Programm bezieht bei der ersten Anfrage an einen Server dessen SSL Zertifikat und legt es dann im lokalen KeyStore ab.

Bei selbst signierten Zertifikaten ist das mit der Sicherheit aber immer so eine Sache: Entweder du vertraust dem Aussteller und installierst es oder du lässt es bleiben. Mehr Sicherheit kann ein Zertifikat dir an dieser Stelle nicht bieten, solange keine Trusted-CA mit im Spiel ist. Aber selbst bei den etablierten CAs sind die Standards von Land zu Land und von Anbieter zu Anbieter ja bekanntlich nicht sonderlich homogen.

CODE
/*
* Copyright 2006 Sun Microsystems, Inc.  All Rights Reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
*
*   - Redistributions of source code must retain the above copyright
*     notice, this list of conditions and the following disclaimer.
*
*   - Redistributions in binary form must reproduce the above copyright
*     notice, this list of conditions and the following disclaimer in the
*     documentation and/or other materials provided with the distribution.
*
*   - Neither the name of Sun Microsystems nor the names of its
*     contributors may be used to endorse or promote products derived
*     from this software without specific prior written permission.
*
* THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
* IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
* THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
* PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
* CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
* EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
* PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
* PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
* LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
* NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
* SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/

import java.io.*;
import java.net.URL;

import java.security.*;
import java.security.cert.*;

import javax.net.ssl.*;

public class InstallCert
{

   public static void main(String[] args) throws Exception
   {
       String host;
       int port;
       char[] passphrase;
       if ((args.length == 1) || (args.length == 2))
       {
           String[] c = args[0].split(":");
           host = c[0];
           port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
           String p = (args.length == 1) ? "changeit" : args[1];
           passphrase = p.toCharArray();
       }
       else
       {
           System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
           return;
       }

       File file = new File("jssecacerts");
       if (file.isFile() == false)
       {
           char SEP = File.separatorChar;
           File dir = new File(System.getProperty("java.home") + SEP + "lib" + SEP + "security");
           file = new File(dir, "jssecacerts");
           if (file.isFile() == false)
           {
               file = new File(dir, "cacerts");
           }
       }
       System.out.println("Loading KeyStore " + file + "...");
       InputStream in = new FileInputStream(file);
       KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
       ks.load(in, passphrase);
       in.close();

       SSLContext context = SSLContext.getInstance("TLS");
       TrustManagerFactory tmf =
               TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
       tmf.init(ks);
       X509TrustManager defaultTrustManager = (X509TrustManager) tmf.getTrustManagers()[0];
       SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
       context.init(null, new TrustManager[]
               {
                   tm
               }, null);
       SSLSocketFactory factory = context.getSocketFactory();

       System.out.println("Opening connection to " + host + ":" + port + "...");
       SSLSocket socket = (SSLSocket) factory.createSocket(host, port);
       socket.setSoTimeout(10000);
       try
       {
           System.out.println("Starting SSL handshake...");
           socket.startHandshake();
           socket.close();
           System.out.println();
           System.out.println("No errors, certificate is already trusted");
       } catch (SSLException e)
       {
           System.out.println();
           e.printStackTrace(System.out);
       }

       X509Certificate[] chain = tm.chain;
       if (chain == null)
       {
           System.out.println("Could not obtain server certificate chain");
           return;
       }

       BufferedReader reader =
               new BufferedReader(new InputStreamReader(System.in));

       System.out.println();
       System.out.println("Server sent " + chain.length + " certificate(s):");
       System.out.println();
       MessageDigest sha1 = MessageDigest.getInstance("SHA1");
       MessageDigest md5 = MessageDigest.getInstance("MD5");
       for (int i = 0; i < chain.length; i++)
       {
           X509Certificate cert = chain[i];
           System.out.println(" " + (i + 1) + " Subject " + cert.getSubjectDN());
           System.out.println("   Issuer  " + cert.getIssuerDN());
           sha1.update(cert.getEncoded());
           System.out.println("   sha1    " + toHexString(sha1.digest()));
           md5.update(cert.getEncoded());
           System.out.println("   md5     " + toHexString(md5.digest()));
           System.out.println();
       }

       System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
       String line = reader.readLine().trim();
       int k;
       try
       {
           k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
       } catch (NumberFormatException e)
       {
           System.out.println("KeyStore not changed");
           return;
       }

       X509Certificate cert = chain[k];
       String alias = host + "-" + (k + 1);
       ks.setCertificateEntry(alias, cert);

       OutputStream out = new FileOutputStream("jssecacerts");
       ks.store(out, passphrase);
       out.close();

       System.out.println();
       System.out.println(cert);
       System.out.println();
       System.out.println("Added certificate to keystore 'jssecacerts' using alias '" + alias + "'");
   }
   private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

   private static String toHexString(byte[] bytes)
   {
       StringBuilder sb = new StringBuilder(bytes.length * 3);
       for (int b : bytes)
       {
           b &= 0xff;
           sb.append(HEXDIGITS[b >> 4]);
           sb.append(HEXDIGITS[b & 15]);
           sb.append(' ');
       }
       return sb.toString();
   }

   private static class SavingTrustManager implements X509TrustManager
   {

       private final X509TrustManager tm;
       private X509Certificate[] chain;

       SavingTrustManager(X509TrustManager tm)
       {
           this.tm = tm;
       }

       public X509Certificate[] getAcceptedIssuers()
       {
           throw new UnsupportedOperationException();
       }

       public void checkClientTrusted(X509Certificate[] chain, String authType)
               throws CertificateException
       {
           throw new UnsupportedOperationException();
       }

       public void checkServerTrusted(X509Certificate[] chain, String authType)
               throws CertificateException
       {
           this.chain = chain;
           tm.checkServerTrusted(chain, authType);
       }
   }
}


Mehr Informationen zu InstallCert findest du hier.

MfG


--------------------
:: NetPanther :: NetPanther@gmx.net :: Website :: IRC Channel: #NetPanther ::

Das Leben ist eine Beta. Nichts ist vollkommen.
PMEmail PosterUsers WebsiteICQAOLYahooMSN
Top
1 Besucher zu diesem Thema (1 Gäste und 0 'versteckte' Mitglieder)
0 Mitglied(er):
« älteres Thema | Java | neueres Thema »

Topic Options Reply to this topicStart new topic

 



[ DB Queries: 11 ]   [ Execution Time: 0.0567 ]   [ GZIP aktiviert ]

Powered by Invision Power Board(U) v1.3 Final © 2003  IPS, Inc.