Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13  Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Просмотрев все похожие thread-ы данного форума я понял, что разработчики не пробовали прикрутить JTLS к Glassfish, а также не собираются этого делать и документировать. Вопрос: актульная ли эта информация? Если да, то вопрос к умельцам, которые уже пытались это сделать. Есть ли способ более легкий, чем написание собственной реализации класса com.sun.grizzly.util.net.SSLImplementation, как предлагается здесь: To Configure a Custom SSL Implementation? Цитата:To Configure a Custom SSL Implementation
In GlassFish Server, you can configure the SSL protocol an HTTP listener such that it uses a custom implementation of SSL. To enable this feature, set the classname property of the SSL protocol to the name of a class that implements the com.sun.grizzly.util.net.SSLImplementation interface. For example:
asadmin> set configs.config.config-name.network-config.protocols.\
protocol.listener-name.ssl.classname=SSLImplementation-class-name
By default, GlassFish Server uses the implementation com.sun.enterprise.security.ssl.GlassfishSSLImpl for the SSL protocol.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927  Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Здравствуйте.
Совместить jtls и glassfish не пробовали, пока не собираемся. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 152  Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Честно, я не пробовал прикрутить JCP+JTLS в Glasfish.
Зато, я его успешно использую в другой OSGI системе - Apache Karaf.
В Apache Karaf, в каталоге $KARAF_HOME/etc лежит файл jre.properties
Он выглядит примерно так:
# Java platform package export properties.
#
# Standard package set. Note that:
# - javax.transaction* is exported with a mandatory attribute
jre-1.6= \
...
# Standard package set. Note that:
# - javax.transaction* is exported with a mandatory attribute
jre-1.7= \
...
В конец каждого раздела, jre-1.6 и jre-1.7 добавляем следующие строчки:
ru.CryptoPro.ssl, \
ru.CryptoPro.Crypto.spec, \
ru.CryptoPro.JCP.ASN, \
ru.CryptoPro.JCP.ASN.CertificateExtensions, \
ru.CryptoPro.JCP.ASN.CryptographicMessageSyntax, \
ru.CryptoPro.JCP.ASN.Gost28147_89_EncryptionSyntax, \
ru.CryptoPro.JCP.ASN.GostR3410_EncryptionSyntax, \
ru.CryptoPro.JCP.ASN.PKIX1Explicit88, \
ru.CryptoPro.JCP.params, \
ru.CryptoPro.JCP.tools, \
ru.CryptoPro.JCPRequest, \
ru.CryptoPro.ssl, \
com.objsys.asn1j.runtime
Всё. Стандартно установленные JCP и JTLS видны в OSGI системе.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Спасибо большое за ответ.
Glassfish и без того видит JCP, однако проблема заключается в конфигурации сервера для одно- и двусторонней аутентификации посредством GostTLS.
В принципе, я уже сделал одно решение односторонней аутентификации с использованием кастомной реализации com.sun.grizzly.util.net.SSLImplementation. Однако есть подозрения, что этого можно избежать.
Сегодня этим и займусь.
А после поделюсь своими исканиями в этой ветке.
|
 1 пользователь поблагодарил yauhen_l за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 152 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Я разбирался с TLS. Честно, как это реализовано средствами Java, мне не нравится.
На сайте Apache велась разработка собственной JVM. Потом, ее закрыли. Но наработки ее не погибли. Изменения вошли в состав Android платформы.
Там есть проект xnet для работы с TLS, используя OpenSSL.
К чему я веду?
В SSL/TLS handshake, первым делом сервер передает свой сертификат и параметр необходимости получения сертификата клиента. Клиент передает свой сертификат. xnet+OpenSSL проверяют сертификат клиента. Если сертификат устраивает, переходят к следующему этапу - выбору алгоритма передачи соли (общей составляющей) Dephi-Helman, для передачи общего сессионного ключа.
В стандартной реализации Java SSL/TLS, делается предположение, что сертификат клиента подходит серверу. Проходят все этапы SSL/TLS handshake. После этого, программное обеспечение сервера (сервлет) получает сертификат клиента в списке параметров поднятой сессии.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Двустороняя аутентификация тоже заработала в Glassfish.
К сожалению, сейчас много работы, поэтому решение позже опишу, если кто-то ждет :)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Автор: yauhen_l  решение позже опишу, если кто-то ждет :) Да, ждем. Решение будет опубликовано в форуме рядом с описанием настройки tomcat + JTLS. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
