软件SSL的实践

　　因为当前所有的单元测试都是通过我提供的ASF模板类，所以启动的Web Service都是服务框架中Jetty发布的Web Service，很轻量级，没有以往测试Web应用的复杂，不需要单独去启动一个Web Container。前期对于WS-Security的集成已经使得单元测试可以支持带WS-Security的Web Service的测试。

　　抱着试一试的心理，直接用服务框架发布了SSL的Web Service，客户端调用了一下，没有成功，但是错误还不能定位是客户端还是服务端的问题，因此首先去外部配置了Tomcat来建立了一个SSL服务端。

　　Tomcat SSL服务端的配置：(只需要修改一个文件conf/server.xml)

      <Connector port=”8443″ maxHttpHeaderSize=”8192″ 
       maxThreads=”150″ minSpareThreads=”25″ maxSpareThreads=”75″
       enableLookups=”false” disableUploadTimeout=”true”
       acceptCount=”100″ scheme=”https” secure=”true”
       clientAuth=”false” sslProtocol=”TLS” keystoreFile=”D:/work/asf/webservice/src/conf.test/keys/alisoft.jks”
       keystorePass=”alisoft” keystoreType=”jks” truststoreFile=”D:/work/asf/webservice/src/conf.test/keys/alisoft.jks”
       truststorePass=”alisoft” truststoreType=”jks”/>

　　clientAuth没有必要配置成为true，不需要重复反向再认证。如果这个值设为false。其他几个值就是生成的服务端证书库位置及密码。这里所要注意的就是要求keystore密码和私钥密码一样，因为只有一个配置密码的地方，这在生成公钥密钥对时两者密码写成一致。这样就OK了，直接访问8443端口就能作为https来访问服务了。

　　采用XFire客户端来做单元测试，代码如下：

　　public static void SSLSecurityTest()

         {

                   Service serviceModel = new ObjectServiceFactory().create(IAccountService.class);

                   //https的客户端代码需要增加的

                   System.setProperty ( “java.protocol.handler.pkgs” , “com.sun.net.ssl.internal.www.protocol” );

                   System.setProperty ( “javax.net.ssl.keyStore” , “D:/work/asf/webservice/src/conf.test/keys/myisvdemo.jks” );

                   System.setProperty ( “javax.net.ssl.keyStorePassword” , “myisvdemo” );

                   System.setProperty ( “javax.net.ssl.trustStore” , “D:/work/asf/webservice/src/conf.test/keys/myisvdemo.jks” );

                   System.setProperty ( “javax.net.ssl.trustStorePassword” , “myisvdemo” );

                   System.setProperty (“java.protocol.handler.pkgs”,”com.sun.net.ssl.internal.www.protocol”);

                   Security.addProvider ( new com.sun.net.ssl.internal.ssl.Provider());

                  

                  

                   String serviceUrl = “http://localhost:8080/axis2/services/AccountService”;

                   String serviceHttpsUrl = “https://localhost:8443/xfire/services/AccountService”;

                   String serviceHttpsUrl2 = “https://localhost:8443/axis2/services/AccountService”;

                  

                   try

                   {

                            IAccountService service = (IAccountService)serviceFactory.create(serviceModel,serviceHttpsUrl2);

                           

//WS-Security所需要的配置

                            Client client = ((XFireProxy)Proxy.getInvocationHandler(service)).getClient();

                            client.addOutHandler(new DOMOutHandler());

                            Properties properties = new Properties();

                            properties.setProperty(WSHandlerConstants.ENABLE_SIGNATURE_CONFIRMATION, “false”);

                            properties.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.SIGNATURE);

                            //properties.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.TIMESTAMP);

                            properties.setProperty(WSHandlerConstants.SIG_PROP_FILE, “keys/client.properties”);

                            //properties.setProperty(WSHandlerConstants.USER, “myisvdemo”);

                            properties.setProperty(WSHandlerConstants.USER, “wenchu”);

                            properties.setProperty(WSHandlerConstants.PW_CALLBACK_CLASS, ClientUtPasswordHander.class.getName());

                            //properties.setProperty(WSHandlerConstants.SIG_KEY_ID, “IssuerSerial”);//”DirectReference”,”IssuerSerial”,”SKIKeyIdentifier”

                            properties.setProperty(WSHandlerConstants.SIG_KEY_ID, “SKIKeyIdentifier”);

                            client.addOutHandler(new WSS4JOutHandler(properties));

                            AccountBean[] result = service.getUserAccountList(“te”, “ta”);

                            System.out.println(result.length);          

                   }

                   catch(Exception ex){ex.printStackTrace();}

         }
 

　　这样保证了客户端的配置已经没有问题了，因此就主要将ASF框架中的SSL集成进去。由于ASF中集成的是Jetty，因此只需要在Jetty动态建立Mapping Server的时候，Server的connector为以SslSocketConnector类型来构造，这样就可以响应https的部分了，同时也可以在其它端口发布成为不需要SSL的服务。这里细节就略去了，改造不是很复杂，只需要对Jetty较为了解即可。不过这里还是要赞一下Jetty，真是轻量级的好东西啊。集成以后再次作单元测试，OK，测试通过。

　　.Net的客户端测试

　　最后就需要对.net所SSL的测试，由于.net客户端已经在上次配置了policy作为WS-Security的配置，按照常理来说应该不需要再配置证书之类的东西了，就尝试着做了一下，在建立Web Reference的时候会有提示说证书授权的认证不符合要访问的地址的身份，这个可以忽略。然后接下去测试了一下，就总是提示无法建立TLS/SSL的交互通道，查了一下，只需要加入下面一句话即可：

　　System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

　　它的作用就是接受所有的证书，也就是在我们SSL中的流程中，检查证书CA是否受信这部分省略，就好比我们访问一些非受信证书的网站跳出的提示框我们点击确认一样。

　　到此为止，应用服务器的SSL配置和测试就基本结束了。后面要谈到的就是硬件SSL的结构和设计。