Bonjour,
 
je cherche à accéder à un serveur HTTPS (via une connexion webdav).
 
Lorsque j'exécute le programme en local, tout fonctionne, j'arrive à lister des répertoires, créer des répertoires, etc... sur le serveur.
 
Mais lorsque j'exécute le programme depuis le web (j'ai charger mon programme java dans un base Oracle), j'obtiens une erreur de permission côté serveur :
 

 
En effet je ne gère pas les certificats dans mon programme. J'ai demandé à mon DBA et il m'a dit que dans la base, le certificat est situé dans :
/ORA/db002/syscontrol/etc/WALLETS/rdbms
et que je devais le spécifier quelquepart dans mon programme.
 
J'ai parcouru pas mal de choses sur le net et j'ai tester beaucoup de code mais je n'arrive pas à intégrer le fonctionnement à mon programme qui est le suivant :
 

 
Pouvez-vous me donner un petit coup de main ?
 
Merci

T'as lu http://hc.apache.org/httpclient-3.x/sslguide.html ?

Oui j'ai lu ça
 
Mais à vrai dire je n'ai pas tout compris, je ne vois pas trop où est faite la gestion des certificats ...
 
A la place de new MySSLSocketFactory() il faut que j'utilise une des classes EasySSLProtocolSocketFactory, StrictSSLProtocolSocketFactory ou AuthSSLProtocolSocketFactory ?

par defaut le truststore c'est [javahome]/lib/security/cacerts/
si ton truststore est différent
> java -Djavax.net.ssl.keyStore=mySrvKeystore -Djavax.net.ssl.keyStorePassword=123456 MyServer
 
si tu as besoin de load un cert dans ton code j'ai trouvé ca sur le forum :
http://forum.hardware.fr/hfr/Progr [...] 3633_1.htm

Merci pour ta réponse.
 
Je ne suis pas en local. Le programme java s'exécute dans la base de données. Ce n'est pas moi qui créé le certificat, d'ailleurs je n'ai aucun accès au système de fichiers, juste un droit de read sur le certificat (en fait sur les 2 fichiers cwallet.sso et ewallet.p12).
 
Depuis j'ai mis en place la partie permettant de loader le .sso (je n'ai pas le code sous la main, il est au boulo) qui devrais fonctionner, mais j'obtiens une erreur :
 
java.io.IOException: Invalid keystore format  
 
Je peux choper un .cert pour essayer de regénérer le sso avec keytool, mais dans tous les cas je ne pourrai pas le mettre sur le serveur. J'ai mailé mon dba vendredi, il n'a toujours pas répondu ...

normalement tu ne store pas le cert dans le keystore, mais tu l'importe avec le keytool correspondant a ton jdk/jre.
 
tu peux essayer
System.out.println(java.security.KeyStore.getDefaultType());
ca te donne le format attendu par defaut du keystore.
 
apres a toi de voir si le cert est en x509 ou autre et ensuite de l'importer dans ton keystore.

Oui j'ai déjà tenté le println. J'obtiens "jks" si mes souvenirs sont bons, c'est bien ce que j'ai spécifié.
 
Comment être sûr que le cert est en x509?  
 
Nous possèdons notre propre autorité de certification.  
J'ai accès aux certificats via la documentation. ( https://ca.cern.ch/ca/Help/?kbid=021010 )
 
 

ouep ca a l'air d'etre correct tout ca.
quand j'ai besoin d'acceder a ce type de certs en général je me debrouille pour obtenir un .der j'avais galéré a une epoque (genre il y a looongtemps, jdk 1.1 ou quoi) et a l'epoque impossible d'importer des pkcs12. on etait passé par des trucs farfelus mais je n'ai plus le code source
 
il me semble que ds le thread "java elite" plusieurs personnes sont confrontées a un probleme similaire.
 
désolé de ne pouvoir t'aider plus, je regarderais plus en détail si je trouve quelque chose
 
sinon fait des tests autour du toCharArray(), en fonction de ce que tu  recuperes des fois c'est necessaire et des fois non
 
[edit]
heuuu attends un peu, essaie de definir ton keystore type en pkcs12 au lieu de jks pour voir
sinon tu peux essayer d'extraire le cert x509 du pkcs12 et l'importer dans ton keystore.
[/edit]

Je vais attendre la réponse du DBA, j'ai déjà perdu assez de temps avec çà, surtout si il connais la solution (il à l'air assez calé avec ça).
 
Si il n'a pas de solution je ferai des tests plus poussé
 
En tous cas merci pour ton aide
Je te tient au courant.

je viens de faire un edit, je te le remet :
 
heuuu attends un peu, essaie de definir ton keystore type en pkcs12 au lieu de jks pour voir
sinon tu peux essayer d'extraire le cert x509 du pkcs12 et l'importer dans ton keystore.

Déjà testé avec pkcs12 :  
 
java.security.KeyStoreException: pkcs12 not found
 
Le code :
 

 
J'ai seulement les fichiers cwallet.sso et ewallet.p12 en lecture, je ne pense pas pouvoir faire quelquechose avec

je pensais plutot à ca :
 
      KeyStore ks = KeyStore.getInstance("PKCS12" );
      FileInputStream fis = new FileInputStream("/ORA/db002/syscontrol/etc/WALLETS/rdbms/ewallet.p12" );
      ks.load(fis, "secret".toCharArray());

Hmmm je ne connais pas le password du p12.
J'utilise le sso car c'est sans password.
 
Non ?

t'as pas forcement besoin de fournir le password, il sert normalement a controller l'integrité du keystore.

Ah ok !
 
Bon et bien il faut que je demande les droits en lecture sur le fichier p12 et je test ça

dsl si je me suis mal exprimé  
 
tu n'as pas forcement besoin de pwd si tu utilise le SSO, pour le p12 tu en aura besoin.
le .sso c'est un .p12 encrypté.
 
avec le .sso ca donnerait ca du coup :
      KeyStore ks = KeyStore.getInstance("SSO" );
      FileInputStream fis = new FileInputStream("/ORA/db002/syscontrol/etc/WALLETS/rdbms/cwallet.sso" );
      ks.load(fis, "" );  
 
par contre verifie que le provider SUN propose le SSO, car les formats ne sont pas toujours compatibles.
si tu bosse avec oracle (ca semble etre le cas ) il faut certainement register le provider Oracle PKI si il n'y est pas.
 
genre :
      Security.addProvider(new OraclePKIProvider()); // je sais pas si c'est la bonne classe, a toi de regarder mais il doit y avoir Oracle et Pki dedans si c'est propre
      ...
      KeyStore ks = KeyStore.getInstance("SSO","OraclePKIMachin" ); // pareil, faut checker le name fourni
      ...
 
je sais pas si c'est super clair mais effectivemment les certs c'est l'echec des qu'on arrive aux implémentations.
 
bonne chance

OK c'est bien ce qu'il me semblait
 

 
Me donne :
 
SUN version 1.5
SunRsaSign version 1.5
SunJSSE version 1.5
SunJCE version 1.5
SunJGSS version 1.0
SunSASL version 1.5
 
Si je met autre chose que "SUN", j'obtiens :
 
java.lang.IllegalArgumentException: missing provider
 
Je vais regarder du côté de l'enregistrement du provider

petite recherche me rends ca :
oraclepki.jar
ojpse.jar  
qui sont normalement dans $ORACLE_HOME/jlib
 
http://www.findjar.com/index.x?query=oraclepki

OK merci j'ai bien ces lib.
 
J'ai testé ceci :
 

 
mais j'obtiens encore une erreur de privilège, il faut que je demande à l'admin de me grant ça pour voir si ça fonctionne
 

 
Je te tient au courant.
 
Merci.

heuuu, cwallet.sso non?
et du coup teste avec "PKCS12" et "SSO"

Oui bien sûr, j'avais oublié de changer
 
Mais ça ne change pas l'exception, dans tous les cas il me faudra le privilège "putProviderProperty.OraclePKI".
 

Bon et bien réponse de l'admin :
 

 
et il ne m'a pas donné le privilège.
 
Retour au point de départ ...

en gros :
- tu as les droit en lecture sur les certs.
- tu n'as pas le droit de declarer le provider pour exploiter les certs (alors que c'est le provider Oracle...)
 
tu peux essayer de filouter ; sortir le cert en .der et le stocker quelque part du coup t'auras pas besoin de declarer un autre provider
 
je vois vraiment pas quoi faire d'autre

Je suis vraiment obligé de passer par le provider Oracle PKI ?
 
Je ne peux stocker que dans la base de données, je n'ai aucun accès au serveur. Je suis sensé utilisé les fichiers fournis dans la base.
 
Je vais essayer de contacter quelqu'un d'autre car l'admin Oracle je crois qu'il n'a pas bien envi de m'aider !

Bon, j'ai pas tout suivi parce que j'y comprends rien à tout ca, mais j'avais eu un problème similaire il y a quelques années, moins le coté Java dans la BD qui semble etre le gros problème. J'me souviens que quoi que je fasse avec l'outil en ligne de commande, le certificat rentré dans le keystore ne "marchait" pas (meme si effectivement visible depuis le code). Malheureusement je ne bosse plus dans la meme boite donc pas moyen d'aller chercher le code, mais je me souviens vaguement d'avoir fait un mix de:
- j'accepte tous les certificats les yeux fermés genre http://www.exampledepot.com/egs/ja [...] stAll.html
- pendant que je les "accepte", j'en profite pour l'ajouter au keystore genre http://exampledepot.com/egs/java.security/AddCert.html mais ca il semble que ca bloque pour toi
One-shot de ca, et une fois le certificat stocké correctement, je repasse en mode "normal".
 
Tout ca pour dire: accepter les yeux fermés, ca fait gros porc, mais ca irait pas? Après tout je suppose que tu "cibles" ton appel sur une URL bien précise donc tu lui fais confiance, SSL ou pas.

Merci pour ta réponse.
 
Alors oui j'avais déjà testé en acceptant tous les certificats. Ca fonctionne bien sauf que je n'arrive pas à utilser HTTP Client car le but c'est de créer des répertoires après. Le code était le suivant :
 

 
Ca fonctionne mais maitenant comment créer des répertoires ?
 
J'arrive seulement à créer des répertoire en faisant comme ceci (en local car pas de gestion des certificats justement) :
 

 
Donc il faut faire un mix des deux. Pour le moement soit j'arrive à créer des répertoires mais sans gestion de certificats, soit j'arrive à accéder aux fichiers en acceptant tous les certificats, mais je n'arrive pas à créer de répertoires...
 
En tous cas accepter "les yeux fermés" comme tu dis suffierait, car en effet j'accède à une URL bien précise, et de plus le code sera exécuté depuis une application intranet protégée par login/password.

Mh ouais je vois, pas sur de pouvoir t'aider du coup, je connais pas du tout. J'ai quand meme survolé la doc et fait une recherche vite fait, un truc comme ca ca irait pas? -> http://ross-o.com/index.php?/archi [...] lient.html
Récupères ses classes EasySSLProtocolSocketFactory et EasyX509TrustManager, puis dans ton deuxième bloc de code que tu m'as copié/collé, ligne 5, à la place de

tu mets

en mettant le bon port si c'est pas 443 évidemment.
Au pif comme ca, ca devrait le faire. Maintenant la pratique...

Edit: évidemment si ca marche faudra améliorer tout ca pour ne créer qu'un object Protocol et l'utiliser automatiquement, etc.

J'avais déjà essayer la classe EasySSLProtocolSocketFactory mais elle ne compilait pas je ne sais plus pourquoi.
 
Je vais quand même réessayer avec le lien que tu m'a donné.
 
En tous cas merci d'essayer de m'aider

Bon bah je dois vraiment être mauvais, je fais exactement comme dans la doc et ça ne fonctionne pas :
 

J'ai essayé d'intégrer le chargement du certificat dans la classe EasySSLProtocolSocketFactory, sans succès (org.apache.commons.httpclient.HttpClientError: java.io.IOException: Invalid keystore format) :
 

 
Je laisse tombé pour le moment. Merci à ceux qui ont essayé de m'aider
 
Si un jour quelqu'un passe sur ce topic et à une idée qu'il n'hésite pas !
 
Bye.