我们已经为我们的问题寻找解决方案一周了,在查阅了许多类似的帖子并阅读了所有可用的文档后,我们还没有找到解决方案。
我将解释我目前的情况,我希望有人能帮助我们解决这个问题。
我们在JAX-WS中开发了一个Web服务客户端,它与另一个平台中的服务器端Web服务通信。通信是双向SSL,我们有服务器端的CA来信任他,还有我们的私人证书来在服务器端识别。
我们的Web服务客户端部署在Weblogic 10.3中,当它要调用服务器端Web服务时,我们通常会加载信任库和密钥库,其中只加载了一个证书,因为每次我们都要使用不同的证书,所以我们不能只使用静态密钥库。
问题是,当我们建立连接并协商握手时,因为Weblogic忽略了我们在调用前加载的信任库和密钥库,只在Weblogic的密钥库中查找受信任的证书和私钥。。。
如果我们把我们的可信证书放在Weblogic的信任库中,然后重新开始通信。我们开始握手,我们信任服务器端(因为现在Weblogic在其密钥库中找到CA),但当我们的Web服务客户端必须发送证书以供服务器端信任时,"证书链"是空的,我们得到一个"BAD_certificate"。
我们已经尝试过Apache CXF和JAX-WS,但问题是一样的,使用系统属性和库设置密钥库。。。所以我们不知道为什么我们的Web服务客户端不能发送证书。由于某种原因,Weblogic似乎没有为他们提供服务,可能是Weblogic配置,但我们不知道。
如果有人知道我们能做什么,请告诉我们。
提前谢谢。
分步指令
请参阅WebLogic Server的SSL配置、为客户端应用程序配置双向SSL和配置双向SSL。
keytool -genkey -alias server-alias -keyalg RSA -keypass changeit_0 -storepass changeit_1 -keystore server_keystore.jks -validity 1825
keytool -export -alias server-alias -storepass changeit_1 -file server.cer -keystore server_keystore.jks
keytool -genkey -alias client-alias -keyalg RSA -keypass changeit_2 -storepass changeit_3 -keystore client_keystore.jks -validity 1825
keytool -export -alias client-alias -storepass changeit_3 -file client.cer -keystore client_keystore.jks
#WLHOMEserverlibcacerts
keytool -import -v -trustcacerts -alias client-alias -file client.cer -keystore cacerts -keypass changeit_2 -storepass changeit
Server->Keystores
Keystores: Custom Identity and Custom Trust
Custom Identity Keystore: server_keystore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: changeit_1
Custom Trust Keystore: <WLHOME>serverlibcacerts
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: changeit
Server->General
SSL Listen Port Enabled: true
Server->SSL
Private Key Alias: server-alias
Private Key Passphrase: changeit_0
Hostname Verification: None
Use Server Certs: true
Two Way Client Cert Behavior: Client Certs Requested and Enforced
SSLRejection Logging Enabled: true
1) 服务标头。
@WebService
@Policy(uri = "policy:Wssp1.2-2007-Https-ClientCertReq.xml")
2) 客户端处理程序资源。
package org.ru5.test;
import java.util.*;
import javax.xml.namespace.QName;
import javax.xml.ws.*;
public class MustUnderstandHeadersHandler implements HandlerResolver {
@Override
public List<Handler> getHandlerChain(PortInfo portInfo) {
final List<Handler> handlerList = new ArrayList<Handler>(1);
handlerList.add(new MustUnderstandHeadersSOAPHandler());
return handlerList;
}
private class MustUnderstandHeadersSOAPHandler implements SOAPHandler<SOAPMessageContext> {
private static final String LOCAL_PART = "Security";
private static final String PREFIX = "wsse";
private static final String URI =
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";
@Override
public Set<QName> getHeaders() {
final QName securityHeader = new QName(URI, LOCAL_PART, PREFIX);
final Set<QName> headers = new HashSet<QName>();
headers.add(securityHeader);
return headers;
}
@Override
public boolean handleMessage(SOAPMessageContext context) {
return true;
}
@Override
public boolean handleFault(SOAPMessageContext context) {
return true;
}
@Override
public void close(javax.xml.ws.handler.MessageContext context) {
}
}
}
我在SSL和JAX-WS方面遇到了很多问题,直到我在Weblogic中更改了一个设置:使用JSSE。根据weblogic的版本(10.3.x,x正在改变一切),这可能是可能的,也可能不是可能的。它在10.3.3和10.3.5上对我有效,它们都是Weblogic 11g。此更改可以使用控制台(在安全方面,高级)或命令行-Dwelogic.security.SSL.enableJSSE=true 来完成
原因是在以前的oracle SSL实现中(如果不使用JSSE),根据算法和密钥大小,一些证书是不被接受的。此外,此实现使用不同的设置,并且不会将JSSE设置用于javax.net.ssl.keyStore…等设置
我现在使用这个JSSE+-Djavax.net.debug=ssl:verbose,一切都很清楚。