gpt4 book ai didi

ssl - 使用 2 路 SSL 的 Weblogic(10.3) 中的 Web 服务客户端 (JAX-WS) 无法完成握手

转载 作者:太空宇宙 更新时间:2023-11-03 13:42:49 24 4
gpt4 key购买 nike

一周以来,我们一直在寻找问题的解决方案,在查看了许多类似的帖子并阅读了所有可用的文档之后,我们还没有找到解决方案。

我将解释一下我目前的情况,希望有人能帮助我们解决问题。

我们在 JAX-WS 中开发了一个 Web 服务客户端,它与另一个平台中的服务器端 Web 服务进行通信。通信是双向 SSL,我们有服务器端的 CA,可以信任他,我们的私有(private)证书可以在服务器端识别。

我们的 Web 服务客户端部署在 Weblogic 10.3 中,当它要调用服务器端 Web 服务时,我们动态加载只加载一个证书的信任库和 keystore ,因为每次我们将使用不同的证书,因此我们不能只使用静态 keystore 。

问题是当我们建立连接、协商握手时,因为 Weblogic 忽略了我们在调用之前加载的信任库和 keystore ,只在 Weblogic 的 keystore 中查找受信任的证书和私钥...

如果我们将受信任的证书放入 Weblogic 的信任库中并重新开始通信。我们开始握手,我们信任服务器端(因为现在 Weblogic 在其 keystore 中找到 CA),但是当我们的 Web 服务客户端必须发送证书以被服务器端信任时,“证书链”是空的并且我们得到一个“BAD_CERTIFICATE”。

我们已经尝试使用 Apache CXF 和 JAX-WS,问题是一样的,使用系统属性和库设置 keystore ...所以我们不知道为什么我们的 Web 服务客户端无法发送证书。 Weblogic 似乎由于某种原因不为它们提供服务,可能是 Weblogic 配置,但我们不知道。

如果有人知道我们能做什么,请告诉我们。

提前致谢。

最佳答案

分步说明。

参见 SSL configuration for WebLogic Server , Configuring Two-Way SSL for a Client ApplicationConfigure two-way SSL .

keytool -genkey -alias server-alias -keyalg RSA -keypass changeit_0 -storepass changeit_1 -keystore server_keystore.jks -validity 1825
keytool -export -alias server-alias -storepass changeit_1 -file server.cer -keystore server_keystore.jks

keytool -genkey -alias client-alias -keyalg RSA -keypass changeit_2 -storepass changeit_3 -keystore client_keystore.jks -validity 1825
keytool -export -alias client-alias -storepass changeit_3 -file client.cer -keystore client_keystore.jks
#WLHOME\server\lib\cacerts
keytool -import -v -trustcacerts -alias client-alias -file client.cer -keystore cacerts -keypass changeit_2 -storepass changeit


Server->Keystores
Keystores: Custom Identity and Custom Trust
Custom Identity Keystore: server_keystore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: changeit_1
Custom Trust Keystore: <WLHOME>\server\lib\cacerts
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: changeit

Server->General
SSL Listen Port Enabled: true

Server->SSL
Private Key Alias: server-alias
Private Key Passphrase: changeit_0
Hostname Verification: None
Use Server Certs: true
Two Way Client Cert Behavior: Client Certs Requested and Enforced
SSLRejection Logging Enabled: true

1) 服务头。

@WebService
@Policy(uri = "policy:Wssp1.2-2007-Https-ClientCertReq.xml")

2) 客户端处理程序解析器。

package org.ru5.test;

import java.util.*;
import javax.xml.namespace.QName;
import javax.xml.ws.*;

public class MustUnderstandHeadersHandler implements HandlerResolver {
@Override
public List<Handler> getHandlerChain(PortInfo portInfo) {
final List<Handler> handlerList = new ArrayList<Handler>(1);
handlerList.add(new MustUnderstandHeadersSOAPHandler());
return handlerList;
}

private class MustUnderstandHeadersSOAPHandler implements SOAPHandler<SOAPMessageContext> {
private static final String LOCAL_PART = "Security";
private static final String PREFIX = "wsse";
private static final String URI =
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";

@Override
public Set<QName> getHeaders() {
final QName securityHeader = new QName(URI, LOCAL_PART, PREFIX);
final Set<QName> headers = new HashSet<QName>();
headers.add(securityHeader);
return headers;
}

@Override
public boolean handleMessage(SOAPMessageContext context) {
return true;
}

@Override
public boolean handleFault(SOAPMessageContext context) {
return true;
}

@Override
public void close(javax.xml.ws.handler.MessageContext context) {
}
}
}

关于ssl - 使用 2 路 SSL 的 Weblogic(10.3) 中的 Web 服务客户端 (JAX-WS) 无法完成握手,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11396259/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com