java security https Problem

**HeisigA** · 25-01-05, 10:56

Hallo,
ich habe ein Problem mit verschlüsselten Verbindungen. Ich starte dazu einen Java-ApplicationServer (semiramis) auf der AS/400 OS V5R2 in einer QSH. Dieser ApplicationServer lässt nur Verbindungen über https (Port 443) zu. Mit dem zuvor auf der AS/400 erzeugten Zertifikat will ich mich nun mit dem Server verbinden (per IE-Browser). Auf dem Server wird die Exception: MalformedURLException: unknown protocol https, geworfen. Mit netstat kann ich sehen, dass https auf Verbindungen wartet. Auf allen anderen Plattformen (Linux/Windows) funzt der AS.
Ich glaube, es liegt an den IBMISeriesProvidern bzw. der Reihenfolge der "Security-Provider". Ich denke, dass alle notwendigen PTF's eingespielt sind (AC3); bin erst seit Jahresanfang AS/400 User und in der AS/400 Nomenklatur noch unsicher. Auch die gefundenen Internethinweise, konnten nicht helfen.
java.security sieht folgendermaßen aus:

Code:

security.provider.1=sun.security.provider.Sun
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.jsse2.IBMJSSEProvider2
security.provider.6=com.ibm.security.jgss.IBMJGSSProvider

ssl.KeyManagerFactory.algorithm=IbmX509
ssl.TrustManagerFactory.algorithm=IbmX509
 
ssl.SocketFactory.provider=com.ibm.jsse.JSSESocetFactory
ssl.ServerSocketFactory.provider=com.ibm.jsse.JSSEServerSocketFactory

Wie und was kann ich noch tun??

Gruß Andreas

**BenderD** · 25-01-05, 14:48

Hallo,

läuft da noch ein HTTP Server? (Apache oder so), nicht dass der sich den Request greift?

mfg

Dieter Bender

Zitat von HeisigA

Hallo,
ich habe ein Problem mit verschlüsselten Verbindungen. Ich starte dazu einen Java-ApplicationServer (semiramis) auf der AS/400 OS V5R2 in einer QSH. Dieser ApplicationServer lässt nur Verbindungen über https (Port 443) zu. Mit dem zuvor auf der AS/400 erzeugten Zertifikat will ich mich nun mit dem Server verbinden (per IE-Browser). Auf dem Server wird die Exception: MalformedURLException: unknown protocol https, geworfen. Mit netstat kann ich sehen, dass https auf Verbindungen wartet. Auf allen anderen Plattformen (Linux/Windows) funzt der AS.
Ich glaube, es liegt an den IBMISeriesProvidern bzw. der Reihenfolge der "Security-Provider". Ich denke, dass alle notwendigen PTF's eingespielt sind (AC3); bin erst seit Jahresanfang AS/400 User und in der AS/400 Nomenklatur noch unsicher. Auch die gefundenen Internethinweise, konnten nicht helfen.
java.security sieht folgendermaßen aus:

Code:

security.provider.1=sun.security.provider.Sun
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.jsse2.IBMJSSEProvider2
security.provider.6=com.ibm.security.jgss.IBMJGSSProvider

ssl.KeyManagerFactory.algorithm=IbmX509
ssl.TrustManagerFactory.algorithm=IbmX509
 
ssl.SocketFactory.provider=com.ibm.jsse.JSSESocetFactory
ssl.ServerSocketFactory.provider=com.ibm.jsse.JSSEServerSocketFactory

Wie und was kann ich noch tun??

Gruß Andreas

**TARASIK** · 25-01-05, 15:09

Hallo Andreas,
es gibt den Command wrkptfgrp. Mit diesem prüft man, ob
Gruppenptfs installiert sind:

SF99098 muss Stand 16 sein IBM HTTP Server (includes HTTP, Apache, & Tomcat)
SF99502 muss Stand 17 sein Datenbankgruppenptf
SF99169 muss Stand 19 sein Javagruppenptf
SF99519 muss Stand 125 sein Hipergruppenptf

**HeisigA** · 25-01-05, 15:18

Hallo Tarasik,
meine Kontrolle ergab folgenden Stand:
SF99519 Stand 111
SF99502 Stand 16
SF99169 Stand 18
SF99098 Stand 16

Jetzt kommt die Bitte: Wie komme ich auf den geforderten Stand? Auf IBM-Seiten habe ich mehere Stunden verbracht und als einzigen Patch/PTF SI05419_01 gelesen und eingespielt. Da sagte mir das System, dass alle PTF's drin sind.

Danke Andreas

Zitat von TARASIK

Hallo Andreas,
es gibt den Command wrkptfgrp. Mit diesem prüft man, ob
Gruppenptfs installiert sind:

SF99098 muss Stand 16 sein IBM HTTP Server (includes HTTP, Apache, & Tomcat)
SF99502 muss Stand 17 sein Datenbankgruppenptf
SF99169 muss Stand 19 sein Javagruppenptf
SF99519 muss Stand 125 sein Hipergruppenptf

**HeisigA** · 25-01-05, 15:09

Hallo,
nein, es läuft kein HTTP-Server.
Der Request wird auch vom Java-Server angenommen, nur wenn die Verbindungsparameter (verschlüsselungstiefe, Algorithmen, etc. ) vereinbart/ausgetauscht werden, wirft er diese Exception. Erkennen kann ich's daran, dass ich auf dem IE-Browser aufgefordert werde, das Zertifikat auszuwählen. Das heißt, dass der Request beantwortet wird nur die weitere Kommunikation mit der Verschlüsselung klappt, meiner Meinung nach, nicht. Meine Interpretation der Protocol-Negotiation kann natürlich falsch sein.

Gruß Andreas

Zitat von BenderD

Hallo,

läuft da noch ein HTTP Server? (Apache oder so), nicht dass der sich den Request greift?

mfg

Dieter Bender

**TARASIK** · 25-01-05, 15:36

Hallo Andreas,
die Gruppenptfs bei der IBM bestellen und hast Du einmal mit
der Fehlermeldung im google gesucht da sind verschiedene
Hinweise zu finden.

**HeisigA** · 26-01-05, 07:56

Hallo Tarasik,

gibt es eine andere Möglichkeit? Wir haben die AS/400 als "as is" gebraucht gekauft, um Erfahrungen auf AS/400 Servern im Zusammenspiel mit der ERP-Software zu sammeln. Dazu muss aber der Java-Applicationserver laufen. Google habe ich exzessiv gebraucht, Einstellungen, Tipps getestet, ohne den Durchbruch zu schaffen.

Gruß Andreas Heisig-Gabel

Zitat von TARASIK

Hallo Andreas,
die Gruppenptfs bei der IBM bestellen und hast Du einmal mit
der Fehlermeldung im google gesucht da sind verschiedene
Hinweise zu finden.

**BenderD** · 26-01-05, 08:38

Hallo Andreas,

ist denn der Kryptographic Support überhaupt installiert? Das braucht zwar (meine ich) keine spezielle Lizenz mehr, ist aber im default keineswegs installiert. Ohne selbigen wird das wohl nix.

mfg

Dieter Bender

Zitat von HeisigA

Hallo Tarasik,

gibt es eine andere Möglichkeit? Wir haben die AS/400 als "as is" gebraucht gekauft, um Erfahrungen auf AS/400 Servern im Zusammenspiel mit der ERP-Software zu sammeln. Dazu muss aber der Java-Applicationserver laufen. Google habe ich exzessiv gebraucht, Einstellungen, Tipps getestet, ohne den Durchbruch zu schaffen.

Gruß Andreas Heisig-Gabel

**HeisigA** · 26-01-05, 09:07

Hallo BenderD,
meiner bescheiden Meinung nach, ja.
Alle Algorithmen und SSL-Initialisierungen laufen durch.
Server Socket/Port https wird gestartet.

security.java:

Code:

security.provider.1=sun.security.provider.Sun
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.as400.ibmonly.net.ssl.Provider
security.provider.6=com.ibm.jsse2.IBMJSSEProvider2
security.provider.7=com.ibm.security.jgss.IBMJGSSProvider

Auszug aus der Logdatei mit -Djavax.net.debug=true :

Code:

Information: SYS-430 Identitätsdienst Client gestartet. Lokaler Server ist LOCALHOST.
adding as trusted cert:
  Subject: CN=CISAG, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Issuer:  CN=CISAG, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Algorithm: RSA; Serial number: 0xe0bdde445d1e10a16a846496ca0000
  Valid from Thu Jan 23 09:28:26 GMT+01:00 2003 until Sat Dec 31 23:59:59 GMT+01:00 2005
adding as trusted cert:
  Subject: CN=ibm720.akap.de, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Issuer:  CN=CISAG-DEMO, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Algorithm: RSA; Serial number: 0xe032ecf92c2010b9350a02011c0000
  Valid from Wed Jan 12 00:00:00 GMT+01:00 2005 until Sat Dec 31 23:59:59 GMT+01:00 2005
adding as trusted cert:
  Subject: CN=CISAG-DEMO, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Issuer:  CN=CISAG, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Algorithm: RSA; Serial number: 0x403af2445d1e10a16a846496ca0000
  Valid from Thu Jan 23 09:29:06 GMT+01:00 2003 until Sat Dec 31 23:59:59 GMT+01:00 2005
***
found key for : cn=ibm720.akap.de, ou=c.i.s. ag, o=ktw semiramis software, c=germany
chain [0] = [
[
  Version: V3
  Subject: CN=ibm720.akap.de, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
  Key:  IBMJCE RSA Public Key:
modulus:
125912135119406988592433518194026829247360902321045989711334952357993856736700227444075873844529175454322732638626546892771872302628176240660457096431071545221093888785110289035410060598281443357473120367790388997218373163758750784310200274876314243124530006252712858464409371782431986818819298013776710851269
public exponent:
65537
  Validity: [From: Wed Jan 12 00:00:00 GMT+01:00 2005,
			   To: Sat Dec 31 23:59:59 GMT+01:00 2005]
  Issuer: CN=CISAG-DEMO, OU=C.I.S. AG, O=KTW Semiramis Software, C=Germany
  SerialNumber: [1164107391753448944494607495346257920]
Certificate Extensions: 2
[1]: ObjectId: 2.16.840.1.113730.1.1 Criticality=false
NetscapeCertType [
   SSL client
   SSL server
]

Zitat von BenderD

Hallo Andreas,

ist denn der Kryptographic Support überhaupt installiert? Das braucht zwar (meine ich) keine spezielle Lizenz mehr, ist aber im default keineswegs installiert. Ohne selbigen wird das wohl nix.

mfg

Dieter Bender

**HeisigA** · 02-02-05, 10:45

Hallo Tarasik,

endlich habe ich eine IBM-Registrierung und die PTF's eingespielt:
Stand:
SF99519 126
SF99502 17
SF99169 19
SF99098 16
Nur leider keine Änderung. Irgendwie hätte ich erwartet, dass
neue/geänderte Java-Klassen eingespielt werden, oder die
Security-Policies sich ändern. Dies kann ich nicht feststellen.

google liefert einiges und viele Hinweise,Tipps habe ich ausprobiert.
Ohne Erfolg. Hast Du noch Ideen, was ich tun kann???

Gruß Andreas

Zitat von TARASIK

Hallo Andreas,
die Gruppenptfs bei der IBM bestellen und hast Du einmal mit
der Fehlermeldung im google gesucht da sind verschiedene
Hinweise zu finden.

**BenderD** · 25-01-05, 16:02

Hallo,

an die PTFs glaube ich da eher nicht, da interessieren allenfalls die Java Group - der Rest ist Banane. Ich denke eher, dass deine Konfiguration und deine Factory Einträge verdächtig sind. Kann man in dem Semiramis das loglevel hochdrehen? Dein Fehler ist m.E. erst das letzte Glied in der Kette und das erste wäre interessant!
Folgender Link bez. Security properties erscheint mir auch beachtenswert zu sein:
http://publib.boulder.ibm.com/iserie...sesecprops.htm

mfg

Dieter Bender

Zitat von BenderD

Hallo,

läuft da noch ein HTTP Server? (Apache oder so), nicht dass der sich den Request greift?

mfg

Dieter Bender

**HeisigA** · 26-01-05, 07:50

Hallo BenderD,

danke für den Tipp, hatte ich schon gelesen und als Guide genommen meine Einstellungen zu testen, leider ohne Erfolg.
Ich habe mal die Propertyeinstellung -Djavax.net.debug=true eingestellt. Bei der Menge an Debuginformationen fehlt mir leider die Erfahrung zu erkennen, wo der Schuh drückt. Was man aber erkennt ist, dass anfänglich request's vom Server beantwortet werden.

Gruß Andreas Heisig-Gabel

Zitat von BenderD

Hallo,

an die PTFs glaube ich da eher nicht, da interessieren allenfalls die Java Group - der Rest ist Banane. Ich denke eher, dass deine Konfiguration und deine Factory Einträge verdächtig sind. Kann man in dem Semiramis das loglevel hochdrehen? Dein Fehler ist m.E. erst das letzte Glied in der Kette und das erste wäre interessant!
Folgender Link bez. Security properties erscheint mir auch beachtenswert zu sein:
http://publib.boulder.ibm.com/iserie...sesecprops.htm

mfg

Dieter Bender

Thema: java security https Problem

Thread Tools

Bewerten Sie diesen Thema

Display

Hybrid View