用於GAE上的Web服務的雙向SSL（java）

Question

我們需要在Google App Engine上實現雙向SSL，在這種情況下，我們使用JAX-WS將Web服務請求發送到服務器，以請求雙向SSL身份驗證。

如何爲我們的傳出Web服務請求設置雙向SSL？

我們知道javax.net.ssl*在App Engine環境中是被禁止的。

這裏是我們的代碼示例：或

ListenerSoap soap = new Listener().getListenerSoap(); 
soap.ping(); 

我想我們可以存儲密鑰庫中所需要的任何證書：

@WebService(name="ListenerSoap", targetNamespace = "http://example.com/Listener.Wsdl") 
@SOAPBinding(parameterStyle = SOAPBinding.ParameterStyle.BARE) 
public interface ListenerSoap { 

    @WebMethod(operationName = "Ping", action="http://example.com/Listener.Wsdl#Ping") 
    public void ping(); 
} 

@WebServiceClient(name="Listener", targetNamespace="http://example.com/Listener.Wsdl", wsdlLocation = "https://example.com/Listener.asmx?WSDL") 
public class Listener extends Service 
{ 
    public ListenerSoap getListenerSoap() { 
    return super.getPort(new QName("http://example.com/Listener.Wsdl", 
         "ListenerSoap"), ListenerSoap.class); 
    } 
} 

而在使用上面的代碼示例DataStore作爲二進制對象（儘管如何上傳它們對我來說仍然是一個小小的模糊）。

我們該如何設置此Web服務使用雙向SSL進行身份驗證所需的必要值？

感謝所有幫助

更新：

通過我已經看到了這個研究是如何能在傳統的服務器上完成（一個與文件系統訪問）：

ListenerSoap soap = new Listener().getListenerSoap(); 
((BindingProvider) soap).getRequestContext().put("javax.net.ssl.keyStore", "client_cert.p12" 

但是，在這種方法中，client_cert.p12預計在文件系統上。

此外，SSLSocketFactory，SSLContext，KeyManager和KeyManagerFactory都不允許在GAE上。

更新：

由於GAE SDK版本1.7.7。現在應該是可能的：

Similarly, Java developers can now use the javax.net.ssl package to make outbound SSL connections. 

GAE 1.7.7 SDK Release Notes

Answer 1

什麼，我知道的雙向SSL，你將不得不使用Java EE代碼沒有鏈接：雙向SSL是傳輸層安全：當你的客戶端應用程序將嘗試與服務器創建安全的HTTP連接（HTTPS），服務器將要求提供證書並且將批准或不批准此證書。如果客戶端證書被批准，那麼將在各方建立安全連接，並允許他們通過該隧道交換一些消息。但是這個過程是在傳輸層完成的。您的代碼（在應用程序層）永遠不會被通知這個過程。 爲了建立雙向SSL，安裝程序在SSL端口的應用程序服務器設置上完成。

Answer 2

ListenerSoap soap = new Listener().getListenerSoap(); 

希望它改善

感謝

Answer 3

我知道你可能不希望聽到這一點，但使用SSL是昂貴和有問題的雙向通信。根據您對服務器/客戶端的控制權限，我更喜歡簡單的雙向管道，如Web套接字和可以簡單實現AES的數據包協議。這真的取決於你正在試圖解決的問題。

Answer 4

聽起來好像對通過SSL（https://...）的簡單連接和所謂的「相互認證」或「公鑰基礎結構（PKI）」存在混淆。你實際上可以做兩個或一個獨立於另一個。對於後者（我認爲原始問題所指的是），當您向服務器發出請求時，服務器會回覆您，要求您提供一份證書，以證明您自己。

要回答上面的具體問題（從二進制數據加載密鑰庫），我不認爲這是真的可能，因爲它是在您的密鑰庫中啓動的Java運行時。你唯一能想到的就是從你的數據存儲中加載這些位並暫時寫入磁盤。可選擇在應用程序存在時將其刪除。這我以前做過，工作得很好。如果你這樣做，我推薦使用可能是可寫的位置（如System.getProperty("java.io.tmpdir"));），然後將文件寫入到磁盤後，將JVM屬性（如System.getProperties().put("javax.net.ssl.keyStore","...");）

Answer 5

您需要爲App Engine的Socket API這個。此API處於可信測試者模式，因此它不適用於所有人。

你可以要求訪問基爾：https://docs.google.com/spreadsheet/viewform?formkey=dF9QR3pnQ2pNa0dqalViSTZoenVkcHc6MQ#gid=0

Answer 6

從我對SSL的授權限制的知識，看來你可能會丟失在這裏至關重要的東西;證書。雙向SSL需要客戶端和服務器證書在您的密鑰庫中，這可以是自簽名證書（pkcs12或pem文件，您可以通過shell通過幾條命令輕鬆生成）或由像Thawte或Verisign這樣的授權公司。 儘管我不確定這是否是您所面臨的問題，但它很適合檢查。 （另外，我是一個新手，所以請不要downvote我的答案，只是試圖建議可能的選項。）

Answer 7

不支持雙向SSL（從GAE託管應用程序到外部世界），至於我知道。我在幾個月前嘗試過一個示例應用程序，並且很失望地發現GAE甚至不支持這個基本功能。並且文檔也不清楚。當您聯繫網絡服務時，您將無法提供客戶端證書..無法存儲它，密鑰庫無法訪問。