SSL bidirezionale per servizi Web su GAE (java)

Question

Abbiamo bisogno di implementare SSL bidirezionale su Google App Engine, dove inviamo richieste di servizi Web utilizzando JAX-WS a un server che richiede l'autenticazione SSL a 2 vie.

Come possiamo impostare SSL a 2 vie per le nostre richieste di servizi Web in uscita?

Sappiamo che javax.net.ssl* è vietato nell'ambiente App Engine.

Ecco un esempio del nostro codice:

@WebService(name="ListenerSoap", targetNamespace = "http://example.com/Listener.Wsdl") 
@SOAPBinding(parameterStyle = SOAPBinding.ParameterStyle.BARE) 
public interface ListenerSoap { 

    @WebMethod(operationName = "Ping", action="http://example.com/Listener.Wsdl#Ping") 
    public void ping(); 
} 

@WebServiceClient(name="Listener", targetNamespace="http://example.com/Listener.Wsdl", wsdlLocation = "https://example.com/Listener.asmx?WSDL") 
public class Listener extends Service 
{ 
    public ListenerSoap getListenerSoap() { 
    return super.getPort(new QName("http://example.com/Listener.Wsdl", 
         "ListenerSoap"), ListenerSoap.class); 
    } 
} 

e un esempio di codice di cui sopra in uso:

ListenerSoap soap = new Listener().getListenerSoap(); 
soap.ping(); 

immagino che possiamo memorizzare i keystore o qualsiasi certs necessari il DataStore come oggetti binari (anche se il modo di caricarli è ancora un po 'vago per me).

Come possiamo impostare i valori necessari necessari per questo servizio Web per l'autenticazione tramite SSL a 2 vie?

Grazie per qualsiasi aiuto

Aggiornamento:

Attraverso la ricerca che ho visto questo è come può essere fatto su un server tradizionale (una con accesso filesystem):

ListenerSoap soap = new Listener().getListenerSoap(); 
((BindingProvider) soap).getRequestContext().put("javax.net.ssl.keyStore", "client_cert.p12" 

Tuttavia, in questo approccio, è previsto che client_cert.p12 si trovi nel file system.

Inoltre, SSLSocketFactory, SSLContext, KeyManager e KeyManagerFactory non sono consentiti su GAE.

Aggiornamento:

partire dalla GAE SDK versione 1.7.7. questo dovrebbe essere possibile:

Similarly, Java developers can now use the javax.net.ssl package to make outbound SSL connections. 

GAE 1.7.7 SDK Release Notes

Answer 1

Per quello che so di due vie SSL, si avrà alcun legame con il codice di Java EE: a due vie SSL è un Transport Layer Security: quando l'applicazione client proverà a creare una connessione HTTP protetta (HTTPS) con il servizio, il server chiederà un certificato e approverà o meno questo certificato. Se il certificato client è stato approvato, verrà stabilita una connessione protetta per le parti e saranno autorizzati a scambiare alcuni messaggi attraverso questo tunnel. Ma questo processo è fatto sul livello di trasporto. Il tuo codice (sul livello dell'applicazione) non verrà mai informato di questo processo. Per stabilire SSL a due vie, la configurazione viene eseguita sull'installazione del server delle applicazioni per la porta SSL.

Answer 2

ListenerSoap soap = new Listener().getListenerSoap(); 

spero che migliora

Grazie

Answer 3

So che potrebbe non voler sentire questo, ma utilizzando SSL è costoso e problematico per la comunicazione a due vie.A seconda della quantità di controllo che si ha sul server/client, preferisco un tubo bidirezionale semplice come socket web e un protocollo di pacchetto dati che può semplicemente implementare AES. Dipende davvero dal problema che stai cercando di risolvere.

Answer 4

Sembra che ci sia confusione sulla semplice connessione tramite SSL (https://...) e ciò che è noto come "autenticazione reciproca" o "infrastruttura a chiave pubblica (PKI)". Puoi effettivamente fare entrambi o uno indipendentemente dall'altro. Con quest'ultimo (quello a cui penso si riferisca la domanda originale), quando si effettua una richiesta al server, il server risponderà chiedendo un certificato che è necessario presentare per autenticarsi.

Per rispondere alla domanda specifica sopra (caricamento di un keystore da dati binari), non penso che sia realmente possibile, dal momento che è il runtime Java che viene prelevato sul vostro keystore. L'unico pensiero che potresti fare è caricare i bit dal tuo datastore e scriverlo temporaneamente su disco. Opzionalmente eliminarlo quando esiste l'applicazione. Questo l'ho già fatto e funziona abbastanza bene. Se si esegue questa operazione, mi consiglia di utilizzare una posizione probabile che sia scrivibile (come System.getProperty("java.io.tmpdir"));), quindi dopo aver scritto il file su disco, impostare le proprietà JVM (ad es System.getProperties().put("javax.net.ssl.keyStore","...");)

Answer 5

Avrete bisogno di API socket di App Engine per Questo. Questa API è in modalità tester attendibile, quindi non è disponibile per tutti.

È possibile richiedere un accesso Gere: https://docs.google.com/spreadsheet/viewform?formkey=dF9QR3pnQ2pNa0dqalViSTZoenVkcHc6MQ#gid=0

Answer 6

Dalla mia conoscenza limitata circa l'autorizzazione SSL, sembra si può mancare qualcosa di vitale importanza qui; i certificati. SSL bidirezionale richiede che i certificati client e server siano nel tuo keystore, che può essere un certificato autofirmato (un file pkcs12 o pem, che puoi facilmente generare con alcuni comandi tramite shell) o un certificato proprietario emesso da una società autorizzata come Thawte o Verisign. Anche se non sono sicuro se questo è il problema che stai affrontando, ma è bene verificarlo. (Inoltre, sono un principiante quindi per favore non invertire la mia risposta, solo cercando di suggerire possibili opzioni.)

Answer 7

SSL a 2 vie (dall'app ospitata in GAE al mondo esterno) non è supportato per quanto mi riguarda conoscere. Ho provato un'app di esempio pochi mesi fa ed ero frustrato nel constatare che GAE non supportava nemmeno questa funzione di base .. e anche le documentazioni non sono chiare. Non sarà possibile presentare il certificato cliente quando si contatta un servizio Web. Non è possibile archiviarlo, non è possibile accedere al keystore.