Kategorie: Spring

Sep. 23 2009 23. September 2009 8. Januar 2011 KeinKommentar von admin

Zertifikatsstatus per OCSP-Abfrage

Gepostet in Java, Security, Spring Security

Problem: Überprüfung eines X509-Zertifikates per OCSP-Abfrage, ob dieses gesperrt wurde:

Lösung:

Der OCSP-Client:

public class OcspClientBouncyCastle
{
    /** root certificate */
    private X509Certificate rootCert;
    /** check certificate */
    private X509Certificate checkCert;
    /** OCSP URL */
    private String url;

	private static final Logger logger = Logger.getLogger(OcspClientBouncyCastle.class);

    /**
     * Creates an instance of an OcspClient that will be using BouncyCastle
     */
    public OcspClientBouncyCastle()
    {

    }

    /**
     * Generates an OCSP request using BouncyCastle.
     * @param issuerCert - certificate of the issues.
     * @param serialNumber - serial number.
     * @return	an OCSP request
     * @throws OCSPException
     * @throws IOException
     */
    private  OCSPReq generateOCSPRequest(X509Certificate issuerCert, BigInteger serialNumber) throws OCSPException, IOException
    {
        // Generate the id for the certificate we are looking for
        CertificateID id 		= new CertificateID(CertificateID.HASH_SHA1, issuerCert, serialNumber);

        // basic request generation with nonce
        OCSPReqGenerator gen 	= new OCSPReqGenerator();

        gen.addRequest(id);

        // create details for nonce extension
        // to prevent Replay-Attacks
        Vector oids 	= new Vector();
        Vector values 	= new Vector();

        oids.add(OCSPObjectIdentifiers.id_pkix_ocsp_nonce);
        values.add(new X509Extension(false, new DEROctetString(new DEROctetString(PdfEncryption.createDocumentId()).getEncoded())));

        gen.setRequestExtensions(new X509Extensions(oids, values));

        return gen.generate();
    }

    /**
     * Generates a {@link ErrorStatus}.
     * @return the statuscode.
     * @throws OCSPException
     */
    public int getOCSPStatus() throws OCSPException
    {
        try
        {

            OCSPReq request 		= generateOCSPRequest(rootCert, checkCert.getSerialNumber());
            byte[] array 			= request.getEncoded();
            URL urlt 				= new URL(url);
            HttpURLConnection con 	= (HttpURLConnection)urlt.openConnection();
            con.setRequestProperty("Content-Type", "application/ocsp-request");
            con.setRequestProperty("Accept", "application/ocsp-response");
            con.setDoOutput(true);

            OutputStream out 			= con.getOutputStream();
            DataOutputStream dataOut 	= new DataOutputStream(new BufferedOutputStream(out));
            dataOut.write(array);
            dataOut.flush();
            dataOut.close();

            if (con.getResponseCode() / 100 != 2)
                throw new OCSPException("Invalid HTTP response");

            //Get Response
            InputStream in 			= (InputStream) con.getContent();
            OCSPResp ocspResponse 		= new OCSPResp(in);

            if (ocspResponse.getStatus() != OCSPResponseStatus.SUCCESSFUL)
                throw new OCSPException(ocspResponse.getStatus(),"Error in OCSPRequest/Response");

            BasicOCSPResp basicResponse = (BasicOCSPResp) ocspResponse.getResponseObject();
            if (basicResponse != null)
            {
                SingleResp[] responses = basicResponse.getResponses();
                if (responses.length == 1)
                {
                    SingleResp resp = responses[0];
                    logger.info(" certificate number " + resp.getCertID().getSerialNumber());
                    Object status 	= resp.getCertStatus();

                    // Check the status of the response and adjust certificate
                    if (status == CertificateStatus.GOOD)
                    {
                    	logger.info("OCSP-Response-Status: OK!");
//                    	Die Antwort good muss aber nicht bedeuten, dass ein Zertifikat gültig exis-
//                    	tiert und nicht widerrufen worden ist. Diese Aussage könnte nur formuliert werden,
//                    	wenn der OCSP-Responder direkten Zugriff auf die Datenbank der Zertifizierungsstelle
//                    	hätte. Ist nur der Zugriff auf eine CRL vorhanden, kann der Responder lediglich sagen,
//                    	dass ein Zertifkat nicht widerrufen worden ist

                        return ErrorStatus.CERTIFICATE_OK;
                    }
                    else if (status instanceof org.bouncycastle.ocsp.RevokedStatus)
                    {
                            logger.info("Status Revoked");
                          //ergebnis:fehlgeschlagen
                            return ErrorStatus.CERTIFICATE_REVOKED;

                    } else if (status instanceof org.bouncycastle.ocsp.UnknownStatus)
                    {
                           logger.info("Status Unknown!");
                         //ergebnis:unbekannt
                            return ErrorStatus.CERTIFICATE_UNKNOWN;
                    }
                }
            }

        }
        catch (Exception ex)
        {
            logger.error(ex.getMessage());
        }
        return ErrorStatus.CERTIFICATE_UNKNOWN;
    }

	public X509Certificate getRootCert()
	{
		return rootCert;
	}

	public void setRootCert(X509Certificate rootCert)
	{
		this.rootCert = rootCert;
	}

	public X509Certificate getCheckCert()
	{
		return checkCert;
	}

	public void setCheckCert(X509Certificate checkCert)
	{
		this.checkCert = checkCert;
	}

	public String getUrl()
	{
		return url;
	}

	public void setUrl(String url)
	{
		this.url = url;
	}

}

In Spring verdrahten und die getOCSPStatus()-Methode aufrufen. Vorher natürlich noch die Zertifikate sowie die URL für die Überprüfung übergeben. Diese steht im Zertifikat!


Tags:

Sep. 11 2009 11. September 2009 16. September 2010 KeinKommentar von admin

Mails per AOP aus der Webanwendung versenden

Gepostet in Spring

Problem: Wie kann man aus einer Webanwendung große Mails versenden, ohne das die Anwendung “hängt”?

Lösung: Per AOP jede Mailmethode mit einem Thread ummanteln!

Der Mailadvice:

public class MailAdvice
{
	private static final Logger logger = Logger.getLogger(MailAdvice.class);

	public void fork(final ProceedingJoinPoint point)
	{

		Executors.newSingleThreadExecutor().execute(new Runnable()
		{

			@Override
			public void run()
			{
				logger.info("Forking method execution in a new Thread in MailAdvice for JoinPoint: "+ point);
				try
				{
					point.proceed();

				}catch (Throwable t)
				{
					logger.error(t.getMessage());
				}
			}

		});
	}

}

Der Aspekt in der context.xml

Der MailService:

public class MailServiceImpl implements MailService
{

	private static final Logger logger = Logger.getLogger(MailServiceImpl.class);

	private JavaMailSender mailSender;

	@Override
	public void sendMail(String[] to, String subject, String text, boolean html,Locale locale,File attachment)
	{
		MimeMessage message = mailSender.createMimeMessage();
		try
		{
			MimeMessageHelper helper 	= new MimeMessageHelper(message,html);
                       ...............
                }
       }

	@Override
	public void sendMailToAdmin(String subject, String text, boolean html,Locale locale)
	{
	         ...............
       }
        @Override
	public void sendMailToXYZ(String subject, String text, boolean html,Locale locale)
	{
	         ...............
       }
}

Tags: