Pages enfant
  • Utilisation de certificats X509 en Java

Références

Les magasins de clés (KeyStores) de Java

Un keystore est un fichier protégé par mot de passe, qui peut contenir différentes clés et certificats.

Par défaut, le JDK est livré avec un keystore qui contient le certificats de différentes Autorités de Certification 'de confiance' ; ce keystore se trouve à : $JAVA_HOME/jre/lib/security/cacerts

Si on connait le mot de passe, on peut importer/exporter ou lister le contenu du keystore avec l'utilitaire java keytool (dans /usr/java/j2sdk1.4.1_02, accessible directement en ligne de commande grâce à /etc/profile.d/java.sh et /etc/java/java.conf).

Par exemple, pour lister le contenu du magasin de certificats du JDK :

% keytool -list [-v] -keystore $JAVA_HOME/jre/lib/security/cacerts
Enter keystore password: [vide]
***************** WARNING WARNING WARNING *****************
* The integrity of the information stored in your keystore *
* has NOT been verified\! In order to verify its integrity, *
* you must provide your keystore password. *
***************** WARNING WARNING WARNING *****************
Keystore type: jks
Keystore provider: SUN

Your keystore contains 15 entries

thawtepersonalfreemailca, Feb 12, 1999, trustedCertEntry,
Certificate fingerprint (MD5): 1E:74:C3:86:3C:0C:35:C5:3E:C2:7F:EF:3C:AA:3C:D9
baltimorecodesigningca, May 10, 2002, trustedCertEntry,
Certificate fingerprint (MD5): 90:F5:28:49:56:D1:5D:2C:B0:53:D 4:4B:EF:6F:90:22
[...]
verisignclass2ca, Jun 29, 1998, trustedCertEntry,
Certificate fingerprint (MD5): EC:40:7D:2B:76:52:67:05:2C:EA:F2:3A:4F:65:F0:D8

Chaque entrée est identifiée par un alias (thawtepersonalfreemailca par exemple).

Le format de keystore propriétaire de SUN est JKS.

Un utilitaire GUI est fourni avec le jdk pour gérer les keystores : policytool.

Remarques

$JAVA_HOME/jre/lib/security/cacerts est le magasin de clé global de Java, mais keytool peut manipuler n'importe quel magasin.
Le mot de passe du magasin global est par défaut changeit.







Génération d'un certificat auto-signé RSA

% keytool -genkey -alias CAS -keyalg RSA -dname "CN=cas.univ-xxx.fr/Email=reseau@univ-xxx.fr,O=01234567W,C=FR" -keypass KeyPass -storepass StorePass -keystore CAS.keystore

Cela génère une paire de clé dans un certificat X509 auto-signé (CAS.keystore). On a spécifié un mot de passe pour protéger la clé (KeyPass), et un mot de passe pour protéger le keyStore (StorePass).

Si on ne précise pas le paramètre dname, les différents paramètres sont demandées par keytool de manière interactive.

On peut vérifier ce certificat :

% keytool -list [-v] -keystore CAS.keystore

Exportation d'un certificat (d'une clé publique)

On peut exporter le certificat vers la console :

% keytool -export -keystore CAS.keystore -alias CAS -storepass StorePass -rfc

Pour exporter la clé publique du certificat précédemment généré et stocké dans le magasin CAS.keystore :

% keytool -export -keystore CAS.keystore -alias CAS -storepass StorePass -file CAS.bin.export

Le fichier CAS.bin.export contient ainsi le certificat contenant la clé publique générée. C'est un fichier qu'on peut communiquer au monde entier.

Contrôle :

% keytool -printcert -file CAS.bin.export

Importation d'un certificat (d'une clé publique)

Dans l'exemple suivant, on va importer dans le magasin CAS.keystore le certificat public d'un serveur avec lequel on désire communiquer (ici uportal.bin.export par exemple).

% keytool -import -alias uportal -file uportal.bin.export -keystore CAS.keystore -storepass StorePass

Contrôle :

% keytool -list -v -keystore CAS.keystore

Signer les certificats par une AC locale

Dans ce cas, ce ne sont plus des certificats autosignés. On va utiliser openSSL. On suppose que le certificat de l'autorité de certification est auto-signé.

On génère la paire de clés non signée comme auparavant, avec keytool. Cette fois-ci, one ne précise pas l'option -dname, la création sera interactive :

% keytool -genkey -alias CAS -keyalg RSA -storepass PassKeystore -keystore CAS2.keystore

On génère une requête de certificat :

% keytool -certreq -alias CAS -storepass PassKeystore -keystore CAS2.keystore -file CAS2.csr

On signe cette requête de certification avec l'autorité de CA locale (on peut également utiliser sign.sh CAS2.csr ou CA.pl -sign) :

% openssl ca -in CAS2.csr -out CAS2.pem -keyfile ca.key

On concatène le certificat généré et celui de notre CA (Les 2 doivent être en format pem, donc lisibles), afin d'avoir la chaine de certification au complet. Attention, l'ordre a de l'importance :

% (cat CAS2.pem ; echo ; cat cacert.pem) > cas-chain.pem

On édite à ce moment le fichier cas-chain.pem afin de supprimer tout ce qui ne serait pas entre des lignes

-----BEGIN CERTIFICATE-----

et

-----END CERTIFICATE-----

Le résultat doit être comme suit, avec un retour chariot en dernière ligne :

% -----BEGIN CERTIFICATE-----
MIIEBzCCAu+gAwIBAgICANcwDQYJKoZIhvcNAQEEBQAwUDELMAkGA1UEBhMCRlIx
... certificat de serveur
Qi5LxBjyiK5xCvkUge/2+oCyB4bxsikWf1sz
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIID1zCCAr+gAwIBAgIBAzANBgkqhkiG9w0BAQQFADBPMQswCQYDVQQGEwJGUjEM
... certificat de CA
6cKi0FjWaBYjBOH6/ULalf1g4P38vbUAT4A=
-----END CERTIFICATE-----

On peut contrôler la validité de ce fichier :

% keytool -printcert -file cas-chain.pem

Et ensuite, on importe la chaine de certification complète dans le keystore :

% keytool -import -alias CAS -file cas-chain.crt -trustcacerts -keystore CAS2.keystore

Maintenant, le fichier CAS2.keystore contient le couple de clés, le certificat public et la chaine de certification.

Faire signer un certificat par une autorité de certification externe

On procède comme dans le paragraphe précédent pour générer le bi-clé et la requête de certification :

Génération du keystore contenant le bi-clé, et de la requête de certification

% keytool -genkey -alias CAS -keyalg RSA -dname "CN=cas.univ-xxx.fr,O=Universite machin,C=FR" \
    -keystore CAS2.keystore -storepass truc
% keytool -certreq -alias CAS -keystore CAS2.keystore \
    -file CAS2.csr

Contrôle de la requête générée :

% openssl req -noout -text -in CAS2.csr

Demande du certificat auprès de l'AC

On transmet la demande de certification (CAS2.csr) à son autorité de certification, qui va la signer et vous retourner le certificat correspondant.

Différents cas peuvent alors se produire.

Le fichier recu contient toute la chaine de certification, y compris le serveur, en format DER

Appelons ce fichier cas-chain.crt

C'est le cas le plus favorable. Pour vous en assurer :

%keytool -printcert -file cas-chain.crt

S'il n'y a pas d'erreur, on peut passer à l'étape finale d'import de la chaine de certification dans le keystore.

Le fichier recu contient toute la chaine de certification, en format pem

C'est le cas, par exemple, si vous utilisez des certificats 'SCS' : choisir l'option "The certificate packaged with the signing certificates (PEM)".

Ce format est un format 'lisible'. keytool est capable de le lire, à condition de supprimer tout ce qui ne serait pas entre des lignes

-----BEGIN CERTIFICATE-----

et

-----END CERTIFICATE-----


Il faut également respecter un ordre : d'abord le certificat du serveur, puis celui de l'AC immédiatement supérieure, et ainsi de suite

Vérifier ensuite à l'aide de la même commande que précédemment.

Le fichier reçu ne contient que le certificat du serveur (cas de l'ancienne IGC du CRU)

Construire à la main le certificat contenant le certificat du serveur, et ceux de la chaine de certification, en tenant compte de l'ordre indiqué avant.

Importation du certificat et de la chaine de certification

% keytool -import -alias CAS -file ca-chain.crt -trustcacerts -keystore CAS2.keystore -storepass StorePass

Contrôle :

% keytool -list -v -keystore CAS2.keystore

Suppression d'une entrée d'un magasin

% keytool -delete -keystore <keystore> -alias <alias>

Importation d'une clé privée

Il est parfois nécessaire d'avoir une clé privée dans le keystore, notamment quand tomcat doit répondre en https (exemple : ent avec load balancing nécessitant esup.real.port.https).

keytool ne permet pas l'import d'une clé privée. Par contre, depuis Java 6, keytool/tomcat gèrent le format PKCS12. On peut donc soit donner directement un PKCS12 à tomcat, soit faire :

% openssl pkcs12 -export -in xxx.univ-yyy.fr.crt -inkey xxx.univ-yyy.fr.key -out xxx.univ-yyy.fr.p12 -name xxx.univ-yyy.fr -CAfile ca.crt -chain
% keytool -importkeystore -srckeystore xxx.univ-yyy.fr.p12 -srcstoretype pkcs12 -srcstorepass changeit -srcalias xxx.univ-yyy.fr -destkeystore CAS.keystore -deststoretype jks -deststorepass changeit

nb : dans le cas d'un self-signed certificate, on peut supprimer les options "-CAfile ca.crt -chain"

Correspondence entre apache mod_ssl et truststore/keystore

  • keyStore : SSLCertificateFile + SSLCertificateKeyFile + SSLCertificateChainFile
  • trustStore : SSLCACertificateFile

Précisions :

  • si SSLCertificateChainFile n'est pas donné, apache utilise SSLCACertificateFile
  • SSLCACertificateFile est utilisé avec SSLVerifyClient
  • le trustStore est utilisé quand java se connecte en https
  • le keyStore est utilisé par tomcat pour écouter en https
  • Aucune étiquette