Проблема с настройкой SSL на Jboss 6.1.0.GA [JCP 2.0.37027]

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Проблема с настройкой SSL на Jboss 6.1.0.GA [JCP 2.0.37027] - Проблема с настройкой SSL на Jboss 6.1.0.GA [JCP 2.0.37027]

Опции

Предыдущая тема Следующая тема

ilya_sm		#1 Оставлено : 30 декабря 2015 г. 22:51:32(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.12.2015(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Добрый день. Пытаюсь настроить https на jboss 6.1.0.GA. Работаю с ОС RHEL. Установил JCP (2.0.37027) + Утилиту cpSSL.jar из установочного пакета 1. Создал хранилище с помощью этой команды: Код: `/usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/keytool -genkeypair -alias myAlias -keyalg GOST3410EL -keysize 512 -sigalg GOST3411withGOST3410EL -dname CN=myKey,O=CryptoPro,C=RU -provider ru.CryptoPro.JCP.JCP -keypass 123456 -storetype HDImageStore -keystore myKeystore -storepass 123456` 2. Хранилище создалось, теперь я могу без проблем его просмотреть: Код: [root@d00egc01 hdis]# /usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/keytool -list -keystore myKeystore -storetype HDImageStore -storepass 123456 Dec 30, 2015 10:35:11 PM ru.CryptoPro.JCP.tools.Starter check INFO: Loading JCP 2.0 37027 Dec 30, 2015 10:35:11 PM ru.CryptoPro.JCP.tools.Starter check INFO: JCP loaded. Keystore type: HDIMAGESTORE Keystore provider: JCP Your keystore contains 5 entries myAlias, Dec 30, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): 61:6B:2D:B4:0E:B0:A9:E5:28:78:B0:B9:10:5A:48:23:7B:E2:9C:02 RaUser-c78c90b7-92f6-4ac9-be71-4ff497cdbcbd, Dec 17, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): 41:B3:69:C2:E5:76:C3:5E:3D:23:55:7A:D2:C5:13:FC:3F:5A:AB:1D RaUser-8b9fe190-9ab2-421e-8d17-4dc96b1f049b, Dec 24, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): 87:7B:FC:DB:8E:67:2C:B2:52:39:03:04:20:FA:70:96:9A:8D:B6:5B myKey, Dec 30, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): 0F:9E:2C:75:8B:AB:AB:96:7F:5D:03:61:46:33:3F:7F:FC:5E:7A:B0 myKey1, Dec 30, 2015, PrivateKeyEntry, Certificate fingerprint (SHA1): 46:8A:FB:0F:AA:02:72:17:16:E8:FD:96:E0:3C:A6:12:7B:A6:BE:1F 3. В standalone.xml прописал коннектор: Код: `<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="ssl" key-alias="myAlias" password="123456" certificate-key-file="/app/ora_app1/keys/hdis/myKeystore" cipher-suite="TLS_CIPHER_2001" protocol="GostTLS" keystore-type="HDImageStore"/> </connector>` Однако при запуске сервера в лог выводятся следующие сообщения об ошибке (Password is not valid): Код: 22:15:33,578 ERROR [org.apache.coyote.http11] (MSC service thread 1-4) JBWEB003043: Error initializing endpoint: java.io.IOException: Password is not valid. at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init(JSSESocketFactory.java:488) [jbossweb-7.2.0.Final-redhat-1.jar:7.2.0.Final-redhat-1] at org.apache.tomcat.util.net.jsse.JSSESocketFactory.createSocket(JSSESocketFactory.java:162) [jbossweb-7.2.0.Final-redhat-1.jar:7.2.0.Final-redhat-1] at org.apache.tomcat.util.net.JIoEndpoint.init(JIoEndpoint.java:967) [jbossweb-7.2.0.Final-redhat-1.jar:7.2.0.Final-redhat-1] at org.apache.coyote.http11.Http11Protocol.init(Http11Protocol.java:174) [jbossweb-7.2.0.Final-redhat-1.jar:7.2.0.Final-redhat-1] at org.apache.catalina.connector.Connector.init(Connector.java:982) [jbossweb-7.2.0.Final-redhat-1.jar:7.2.0.Final-redhat-1] at org.jboss.as.web.WebConnectorService.start(WebConnectorService.java:273) [jboss-as-web-7.2.0.Final-redhat-8.jar:7.2.0.Final-redhat-8] at org.jboss.msc.service.ServiceControllerImpl$StartTask.startService(ServiceControllerImpl.java:1811) [jboss-msc-1.0.4.GA-redhat-1.jar:1.0.4.GA-redhat-1] at org.jboss.msc.service.ServiceControllerImpl$StartTask.run(ServiceControllerImpl.java:1746) [jboss-msc-1.0.4.GA-redhat-1.jar:1.0.4.GA-redhat-1] at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) [rt.jar:1.7.0_65] at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) [rt.jar:1.7.0_65] at java.lang.Thread.run(Thread.java:745) [rt.jar:1.7.0_65] 22:15:33,589 ERROR [org.jboss.msc.service.fail] (MSC service thread 1-4) MSC000001: Failed to start service jboss.web.connector.https: org.jboss.msc.service.StartException in service jboss.web.connector.https: JBAS018007: Error starting web connector at org.jboss.as.web.WebConnectorService.start(WebConnectorService.java:277) at org.jboss.msc.service.ServiceControllerImpl$StartTask.startService(ServiceControllerImpl.java:1811) [jboss-msc-1.0.4.GA-redhat-1.jar:1.0.4.GA-redhat-1] at org.jboss.msc.service.ServiceControllerImpl$StartTask.run(ServiceControllerImpl.java:1746) [jboss-msc-1.0.4.GA-redhat-1.jar:1.0.4.GA-redhat-1] at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145) [rt.jar:1.7.0_65] at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615) [rt.jar:1.7.0_65] at java.lang.Thread.run(Thread.java:745) [rt.jar:1.7.0_65] Caused by: LifecycleException: JBWEB000023: Protocol handler initialization failed at org.apache.catalina.connector.Connector.init(Connector.java:984) at org.jboss.as.web.WebConnectorService.start(WebConnectorService.java:273) ... 5 more Помогите разобраться, почему пароль может не подходить? Возможно, он как-то шифруется, и необходимо выполнить какие-то донастройки? Возможно, какие-то утилиты необходимо дополнительно установить? Или попробовать использовать другие параметры при создании хранилища? Отредактировано пользователем 30 декабря 2015 г. 23:54:50(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Евгений Афанасьев		#2 Оставлено : 31 декабря 2015 г. 10:44:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Здравствуйте. Инструкция по настройке JCP и jboss появилась только в версии 2.0.38481, проверка проводилась с ней и jboss версии 6.1.0 Final: * tls: интеграция с JBoss 6.1.0 Final, добавлена инструкция в Doc/WebServerIntegration/JBoss (JCP-388) С jboss версии выше 6.1.0 интегрироваться не удалось - изменился механизм загрузки ключей и выбора сайфер-сюит (на их собственный, ранее был как в tomcat). Параметры коннектора тоже сильно изменились, ряд нужных значений передать не удается, см. инструкцию. Отредактировано пользователем 31 декабря 2015 г. 10:48:21(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ilya_sm		#3 Оставлено : 11 января 2016 г. 23:14:10(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.12.2015(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Добрый день. Цитата: С jboss версии выше 6.1.0 интегрироваться не удалось - изменился механизм загрузки ключей и выбора сайфер-сюит Странно, инстанс jboss'а я взял у коллег. У них все работает почему-то. Мне же необходимо только настроить крипто про... Постараюсь разобраться... После исправления java.security Ошибка при развертывании исчезла: Код: `23:33:25,093 INFO [org.apache.coyote.http11] (MSC service thread 1-3) JBWEB003001: Coyote HTTP/1.1 initializing on : http-d00egcapp01/192.168.4.49:8443 23:33:25,094 INFO [org.apache.coyote.http11] (MSC service thread 1-3) JBWEB003000: Coyote HTTP/1.1 starting on: http-d00egcapp01/192.168.4.49:8443` Однако при попытке загрузить страницу по https (порту 8443), в логи падает ошибка, а страница хоть и открывается, но отображается некорректно (выводится только несколько иероглифов + отсутствует информация о сертификате): Код: 23:53:14,889 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-Acceptor-0) Allow unsafe renegotiation: false 23:53:14,889 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-Acceptor-0) Allow legacy hello messages: true 23:53:14,889 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-Acceptor-0) Is initial handshake: true 23:53:14,889 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-Acceptor-0) Is secure renegotiation: false 23:53:14,890 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, setSoTimeout(60000) called 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 for SSLv2Hello 23:53:14,896 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 for SSLv3 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 for TLSv1 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 for TLSv1 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256 for TLSv1 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 for TLSv1 23:53:14,897 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 for TLSv1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 for TLSv1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 for TLSv1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 for TLSv1.1 23:53:14,898 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 for TLSv1.1 23:53:14,947 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) [Raw read]: length = 5 23:53:14,948 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) 0000: 47 45 54 20 2F GET / 23:53:14,948 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, handling exception: javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection? 23:53:14,949 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, SEND TLSv1 ALERT: fatal, description = unexpected_message 23:53:14,949 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, WRITE: TLSv1 Alert, length = 2 23:53:14,949 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) [Raw write]: length = 7 23:53:14,950 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) 0000: 15 03 01 00 02 02 0A ....... 23:53:14,950 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, called closeSocket() 23:53:14,950 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, IOException in getSession(): javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection? 23:53:14,951 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, called close() 23:53:14,951 INFO [stdout] (http-d00egcapp01/192.168.4.49:8443-1) http-d00egcapp01/192.168.4.49:8443-1, called closeInternal(true) Куда еще можно постараться углубиться, чтобы разобраться? Отредактировано пользователем 12 января 2016 г. 0:22:49(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#4 Оставлено : 12 января 2016 г. 10:42:17(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Видимо, остается только изучать исходники jboss этой версии. Мне не удалось сделать настройку в версии 7, так как там изменилась работа коннектора, его оформление отошло от версии 6, совпадающей с коннектором томката. Основная проблема была в невозможности передать конкретные сайферсюиты, которые поддерживает JTLS: TLS_CIPHER_2001, TLS_CIPHER_2012. В версии 7, как я понял, нет возможно указать именно их, и передаются все "захардкоженные" сайфер-сюиты, но не TLS_CIPHER_2001, TLS_CIPHER_2012, как в вашем списке. Если вашим коллегам удалось сделать настройку в версии 7 и у них есть инструкция, то мы бы включили ее в дистрибутив JTLS.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

1 пользователь поблагодарил Евгений Афанасьев за этот пост.		ilya_sm оставлено 12.01.2016(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ilya_sm		#5 Оставлено : 12 января 2016 г. 10:48:23(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.12.2015(UTC) Сообщений: 11 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз		Спасибо за поддержку. Также у меня возник вопрос, связанный с установлением двунаправленного SSL соединения https://www.cryptopro.ru....aspx?g=posts&t=9912 Скажите, эта ошибка также может быть связана с механизмом работы коннектора Jboss-а?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#6 Оставлено : 12 января 2016 г. 11:48:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Да, я там ответил. Механизм коннектора существенно изменился, можно сравнить его параметры, часть их удалена.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close