JDK 1.8 + JCP 2.0.40035 + SpringBoot в OpenShift

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

JDK 1.8 + JCP 2.0.40035 + SpringBoot в OpenShift - Вопросы по развёртыванию приложения

Опции

Предыдущая тема Следующая тема

Chemannnnn		#1 Оставлено : 31 января 2022 г. 20:44:13(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.11.2021(UTC) Сообщений: 21 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 2 раз в 1 постах		Здравствуйте. В OpenShift планируется развернуть микросервис, написанный с использованием Spring Boot и JCP 2.0.40035 - была установлена локально на машине с Win10(x64) и JDK 1.8 (OpenJDK 1.8.0_232). В начальной версии сервиса предполагается только проверка прикреплённых подписей PKCS#7 (в следующих версиях планируется ещё и подписывать данные). Для этого используется библиотека CAdES (блоки кода взяты из примеров по этой библиотеке, приложенных к дистрибутиву JCP). Локально всё работает корректно, но с созданием Docker образа возникли некоторые проблемы, а с ними ряд вопросов: 1. Организация планирует закупить несколько серверных лицензий КриптоПро JCP (по одной для каждого стенда). Верно ли понимаю, что одна серверная лицензия нужна на один pod OpenShift-а (при этом ограничения на количество ядер нет)? 2. На форуме прочитал, что корневые сертификаты, в случае использования JCP без модуля cpSSL.jar для TLS, нужно добавлять только в хранилище доверенных сертификатов Java - cacerts ($JAVA_HOME/jre/lib/security/cacerts). При локальном тестировании сервиса добавлял их в cacerts (как описано в "Руководстве программиста") с помощью утилиты keytool. Теперь возник вопрос - для обновления корневых (сертификат подписи тоже туда добавлял) сертификатов нужно будет каждый раз пересобирать Docker образ? Т.е. для обновления сертификатов в cacerts придётся пересобирать образ? Если можно, то пожалуйста объясните этот момент. 3. Примерно такой же вопрос по CRL (файлам списков отозванных сертификатов). Локально в настройках сервиса была указана папка, куда складывались CRL файлы (онлайн проверка CRL отключена). Подозреваю, что можно указать папку в файловой системе Unix, на которой работает pod и в ней обновлять CRL. Как это лучше организовать при развёртывании сервиса в OpenShift? 4. Ну и вопрос по установке JCP при сборке Docker образа. Локально установил JCP с GUI из setup.exe. Прочитал в "Инструкции по использованию" про установку в Unix вызовом "./setup_console.sh <путь_к_JRE>" и установку вызовом Java "java -classpath JCPinst.jar ru.CryptoPro.Install.VariantTwo" с указанием необходимых модулей. Какой вариант предпочтительней при сборке Docker образа? Базовый образ с OpenJDK будет, естественно, на основе терминального Unix. Пока выделил для себя следующие шаги: # Базовый образ Alpine (для примера) c JDK FROM openjdk:8-jdk-alpine # Копируем дистрибутив JCP в папку ./distrib # Запускаем установку JCP из папки ./distrib # После установки копируем в JRE из дистрибутива зависимости bouncucastle (для CAdES) # Добавляем сертификат(ы) (корневой) в cacerts RUN keytool -import -alias root -provider ru.CryptoPro.JCP.JCP -keystore /usr/lib/jvm/java-8-openjdk/jre/lib/security/cacerts -storepass changeit -file c:\root.crt


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Chemannnnn		#2 Оставлено : 1 февраля 2022 г. 10:58:37(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.11.2021(UTC) Сообщений: 21 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 2 раз в 1 постах		И ещё вопрос по установке JCP в Docker образе - верно ли, что у JCP для JDK ниже версии 10 нужно производить установку в образе, а для JCP-A для JDK версии 10+ используемые приложением зависимости должны быть в составе приложения (инсталляция JCP-A в образе не требуется)?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Chemannnnn		#3 Оставлено : 7 февраля 2022 г. 18:36:12(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 29.11.2021(UTC) Сообщений: 21 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 2 раз в 1 постах		Вроде бы получилось разобраться с созданием Docker образа: Код: # Базовый образ Alpine с JDK FROM openjdk:8-jdk-alpine # Устанавливаем пользователя # Создаём необходимые каталоги: # - для дистрибутива JCP (и зависимостей) # - для JAR сервиса # - для корневого сертификата RUN su \ && mkdir ./opt/cryptoservice \ && mkdir ./opt/cryptoservice/jcp \ && mkdir ./opt/cryptoservice/jcp/dependencies \ && mkdir ./opt/cryptoservice/jar \ && mkdir ./opt/cryptoservice/certs # Копируем дистрибутив JCP в папку ./opt/cryptoservice/jcp/ COPY ./jcp/jcp-2.0.40035/* ./opt/cryptoservice/jcp/ # Копируем зависимости дистрибутива JCP в папку ./opt/cryptoservice/jcp/dependencies/ COPY ./jcp/jcp-2.0.40035/dependencies/* ./opt/cryptoservice/jcp/dependencies/ # Копируем JAR сервиса в папку ./opt/cryptoservice/jar/ COPY ./jar/* ./opt/cryptoservice/jar/ # Копируем сертификаты в папку ./opt/cryptoservice/certs для добавления их в cacerts COPY ./certs/* ./opt/cryptoservice/certs # Задаём текущую рабочую директорию WORKDIR /opt/cryptoservice/jcp/ # Запускаем установку из папки ./opt/cryptoservice/jcp/ RUN ./setup_console.sh $JAVA_HOME/jre/ -force -en -install -jcp -jcryptop -cades # Установка с указанием серийного номера #RUN ./setup_console.sh $JAVA_HOME/jre/ -force -en -install -jcp -jcryptop -cades -serial_jcp XXXXX-XXXXX-XXXXX-XXXXX-XXXXX # Копируем зависимости bouncycastle (для модуля CAdES) в JRE RUN cp ./dependencies/* $JAVA_HOME/jre/lib/ext/ # Проверяем установку JCP #RUN java -cp JCP.jar ru.CryptoPro.JCP.tools.License -first # Задаём текущую рабочую директорию WORKDIR /opt/cryptoservice/certs/ # Добавляем сертификат(ы) (корневой, промежуточный) в cacerts, а затем проверяем добавленный в cacerts сертификат по алиасу RUN keytool -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -noprompt -trustcacerts -import -alias root -provider ru.CryptoPro.JCP.JCP -file root.crt # Проверяем добавленный сертификат в хранилище (по алиасу) #RUN keytool -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -list -alias root # Пробрасываем порт для теста сервиса EXPOSE 8080 # Задаём текущую рабочую директорию WORKDIR /opt/cryptoservice/jar/ # Команда при запуске контейнера (запуск сервиса) ENTRYPOINT ["java", "-jar", "app-0.0.1-SNAPSHOT.jar"]

2 пользователей поблагодарили Chemannnnn за этот пост.		Elena9898 оставлено 19.12.2022(UTC), Dees7 оставлено 16.02.2023(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close