質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.45%

  • Java

    16209questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • SSL

    607questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • servlet

    533questions

    Servletとは、Webページの動的な生成やデータ処理などをサーバ上で実行するために、Javaで作成されたプログラムです。 ショッピングサイトやオンラインバンキングといった、動的なウェブサイトの構築に用いられています。

サーブレット内でのSSL認証処理について教えて下さい*

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 4,245

tutttwi

score 14

Javaサーブレット内にSSL認証処理を実装しなければならないのですが、
そもそも一般的にどのような実装をされているかというところが理解出来ておりません。。

理解不足で大変申し訳ござませんが、ご教示の程宜しくお願い致します。

 SSL認証処理についての今の理解

★事前準備(インフラ)

【サーバー側準備】
■キーストア構築 

  1. キーペアの作成
  2. CSRの作成
    認証局に証明書を発行してもらうためにサーバーの情報を格納したものを作成
  3. 認証局にCSRの提出
  4. サーバー証明書の取得
  5. サーバー証明書のインポート

■トラストストア構築

  1. クライント側のルート証明書をインポート

【クライアント側準備】
■キーストア構築 

  1. キーペアの作成
  2. CSRの作成
  3. 認証局にCSRの提出
  4. サーバー証明書の取得
  5. サーバー証明書のインポート

■トラストストア構築
サーバー側のルート証明書をインポート

上記事前準備が整ったらJavaの実装ができると考えておりますが、

Q①:実際は「サーバー認証」のみであれば、サーバー側の証明書の準備が整っていれば
十分なのではと考えておりますが、あっておりますでしょうか?

 ★Java実装

色々なWebページのソースを参照させていただいたのですが、
記載方法が各々異なり、どれが正であるかの判断がつきかねましたので、
すみませんが、

Q②:SSL認証を考慮した実装方法をご教示ください。。(HttpsURLConnectionを使用したもの)
setSSLSocketFactory等を使用??
★追記:HTTPSリクエストを送信するクライアント(リクエストを送信するサーブレットが置かれているサーバー)
⇔受信サーバー(サーブレットからのリクエストを受けて結果を返すサーバー) 間のクライアント認証部分になります。

また、SSL認証処理について具体的には以下の2種類の観点があるのかと考えております。

サーバー認証 :サーバーのキーストアにインストールされている証明書の中身について処理
クラアント認証:サーバー側で利用される予定のクライアントからのアクセスであることを認証する為の処理

Q③:クライアント側の実装する際は「サーバー認証」にて証明書の中身の妥当性を判断する場合に、
SSL認証処理を実装する必要があると考えて良いでしょうか?
※単に中身について見ないのであれば下記Javaのように普通につなぎに行って良いものでしょうか?
HttpURLConnectionを使用しても問題ない認識でサーバー認証は裏でやってくれると思っております。

package jp.co.bussiness.servlet.connect;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.httpclient.HttpClient;
import org.apache.commons.httpclient.URIException;
import org.apache.commons.httpclient.methods.PutMethod;
import org.apache.commons.httpclient.methods.RequestEntity;
import org.apache.commons.httpclient.methods.StringRequestEntity;
import org.apache.commons.httpclient.util.URIUtil;

public class HttpClientFrom extends HttpServlet {

    @Override
    public void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {

        System.out.println(this.getClass().toString() + "▼処理開始▼");

        String url = "https://example.trust.co.jp/connection/ssl"; //★Https指定★
        HttpClient client = new HttpClient();
        PutMethod method = new PutMethod(url);
        method.setRequestHeader("Content-Type", "text/plain; charset=UTF-8");

        String body = "members-id=" + URIUtil.encode("A=9999", null) + "&"
                + "members-name=" + URIUtil.encode("テスト=管理者", null) + "&"
                + "address="  + URIUtil.encode("テス都テスト区テスト町9丁目9-99&マイハウス", null);

        RequestEntity entity = new StringRequestEntity(body, null, "utf-8");

        method.setRequestEntity(entity);

        int statusCode = client.executeMethod(method); //★接続★

        log("Httpステータス : " +  statusCode);

        System.out.println(this.getClass().toString() + "▲処理終了▲");

        resp.setContentType("text/html; charset=UTF-8");
        resp.getWriter().write(
                "<html>"
                + "<head></head>"
                + "<body>"
                + "<h1>クラス : "+ this.getClass().toString() + "</h1>"
                + "</br>"
                + "レスポンスコード  : " + statusCode +
                "<br/>" +
                "<a href=\"/MyCat/\">トップページに戻る</a>"
                + "</body>"
                + "</html>"
                );

    }

}

【SSL認証参考URL】

※下記ページの内容を踏まえて前述の考えに及びました。
▼SSL認証処理サンプル
https://codezine.jp/article/detail/105

▼一方向認証(サーバー認証)と双方向認証(クライアント・サーバー認証)
http://otndnld.oracle.co.jp/document/products/wls/docs103/secmanage/ssl.html

一方向および双方向 SSL
SSL は、一方向または双方向としてコンフィグレーションできます。

  • 一方向 SSL では、サーバはクライアントに対して証明書を提示する必要があるが、クライアントはサーバに対して証明書を提示する必要がない。クライアントはサーバを認証する必要がありますが、サーバはどのクライアントからの接続も受け入れます。一方向 SSL は、インターネット上で顧客が個人データを共有する前にセキュアな接続を実現したい場合によく使用されます。クライアントがログインするときにも、サーバが認証できるように SSL を使用することがよくあります。
  • 双方向 SSL (SSL とクライアント認証) の場合、サーバはクライアントに証明書を提示し、クライアントはサーバに証明書を提示する。クライアントが有効で信頼性のある証明書を発行しなければ SSL 接続を確立できないように WebLogic Server をコンフィグレーションできます。

▼サーバー認証は接続に言ったタイミングで裏で処理してくれると思った理由

SSLのハンドシェイク実行時に、SSLサーバからSSLクライアントにサーバ証明書が送信されます。
そのサーバ証明書の検証はどこで行っているのでしょうか?
中で既に標準的な検証は実装されています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10140922810

▼HttpURLConnectionでもよいと思った理由

接続先がhttpsの場合url.openConnection()が実際戻すクラスはHttpsURLConnection ですが、HttpURLConnectionの派生であるため、特に意識することなく使用できます。
HttpsURLConnectionを使った送受信ではデータは暗号化されますが、意識する必要 はありません。
https://ssltest2.verisign.co.jp/はベリサイン社のHTTPS検証サイトです。
GETでもPOSTでも簡単な応答を返してくれます。 サンプルプログラムでは無意味なXMLを送っていますが、 無視してくれます
http://k-hiura.cocolog-nifty.com/blog/2012/04/javahttphttps-1.html#navi_bar

Q④:下記URLにある実装で「SSL証明書の検証無効化とホスト名検証を無効化」する
理由(メリット)は何なのでしょうか?
http://d.hatena.ne.jp/Kazuhira/20141004/1412441208

以上4点になります。
すみませんが、ご教示の程宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • A-pZ

    2016/07/13 23:27

    実施したいことがどちらなのだろうか…と思いました。

    サーバ認証は Q①でよいです。
    クライアント認証について、少し確認させてください。行いたいのは、Q①から続いて、そのサーバとそのサーバのアプリケーションを使うブラウザ間のクライアント認証でしょうか。それとも、サーバから別のHTTPSリクエストを投げるにあたって、別のサーバと通信する際にクライアント認証をしたいということでしょうか。

    キャンセル

  • tutttwi

    2016/07/14 00:02

    A-pZさん
    いつもありがとう御座います。
    具体的に実装したいと思っているのは、
    サーブレットからのHTTPS通信でのSSL認証になります。
    その際のロジックとして、特別SSL認証の為にロジック追加する必要が有るかどうかを懸念しております。
    情報が不足しておりましたらすみませんがご指摘ください。

    キャンセル

  • A-pZ

    2016/07/15 19:41

    なるほど詳細にありがとうございました!考え方としては間違っておりません。別途SSL用の通信ソケットを立ち上げることになりますが、JavaSecurityの中で実装済みのクラスを利用して、あとは秘密鍵を生成→認証局からクライアント証明書(公開鍵)の発行の流れは一緒です。

    ちなみにSSL証明書の無効化は、無効化リスト(CRL)に書かれた証明書が存在するかをチェックするもので、上位の認証局によってその証明書を発行したが、有効期限が切れる前に何か不都合があったため取り消しました、を示すものです。

    キャンセル

回答 3

checkベストアンサー

+1

お返事遅くなりました。

Strong Authenticationとは、SSLの場合 今回のようにサーバー認証とクライアント認証を合わせて利用する時にそう呼称します。

参考書の定番では、「マスタリングTCP/IP SSL/TLS編」 ですかね。ただ高いので、「食べる!SSL! ―HTTPS環境構築から始めるSSL入門」 Kindle版 なら320円です。

ウェブにも色々情報はありますから、それを見てよく判らない所を書籍で補うのが良いでしょう。
Googleで「SSL 解説」とかで検索すると、結構色々なサイトがヒットします。
私のオススメは、 ココとココです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/08/03 00:03

    追加のご回答ありがとう御座います。

    Strong Authentificationってそのような意味だったのですね!
    納得致しました。!

    参考書、Webページのご提示ありがとう御座います。
    まさに私の知りたかった情報でした!

    この度はお忙しい中、
    ご回答頂きありがとう御座います。

    キャンセル

+1

うーん...どこから教えたものかな。

まず簡単なところからいきましょうか。

Q④:下記URLにある実装で「SSL証明書の検証無効化とホスト名検証を無効化」する 
理由(メリット)は何なのでしょうか? 

SSL証明書の検証無効化とホスト名検証の無効化のメリットは、CAで認証された正式のSSL証明書が不要になること、と言って良いと思います(IoTの場合など、クライアントの負荷を少しでも下げたい場合に選択することも、理屈の上では考えられますが、私がそれを迫られたことはありません)。正式のSSL証明書は、取得に費用や手間がかかりますから、開発の初期段階では無効化しておきたくなったり、あるいは経路さえ暗号化されていれば十分で、サーバのなりすましのことは心配しなくて良い、という要件なのであれば、検証の無効化はメリットがあると思います。

Q③:クライアント側の実装する際は「サーバー認証」にて証明書の中身の妥当性を判断する場合に、 
SSL認証処理を実装する必要があると考えて良いでしょうか? 

上記「SSL証明書の検証無効化とホスト名検証を無効化」と関連しますが、サーバ証明書の妥当性を判断するには普通にHttpClientを使えば十分です。デフォルトで妥当性を検証してくれます(だからこそ、検証したくないときはわざわざ無効化しないといけないわけです)。

クライアント証明書を使う場合には、クライアント証明書をJREの証明書ストアにインポートした上で、インポートした証明書を使うように指定する必要があります。

で、サーバ認証とかクライアント認証とかの話ですけどね。

まず、クライアント証明書を使った認証は、クライアント毎の証明書を発行してインストールする手間があるので、もっとも敷居が高いです。逆に言えば、もっともセキュアです。証明書を持っていないクライアントからのアクセスを拒否できるし、特定のクライアント証明書を無効にすることもサーバ側でできるので強力です。しかし、たしかに面倒が多いので、そこまでする必要がないかぎりはその認証はしないのが普通だと思います。

次にサーバサイドの認証ですが、いろいろ方法があります。

ApacheやnginxでBASIC認証ないしDigest認証した上でTomcat等のServletコンテナにproxyする手もあるし、Tomcat等のServletコンテナの認証機能を使う手もあります。これらの方法を使う場合、Servlet側では認証は実装しません。私は、これらの方法を使うことをオススメします。サーバサイドの認証を自力で実装するより、既存の機能を使った方が楽ですし、ノウハウも世間に蓄積されているからです。

どうしてもサーバサイドの認証をServlet側で実装するのであっても、Apache Shiroのようなライブラリを使うとか、Webアプリケーションフレームワークの認証機能を使う方が良いと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/31 20:54

    ご回答ありがとう御座います。

    >正式のSSL証明書は、取得に費用や手間がかかりますから、開発の初期段階では無効化しておきたくなったり、あるいは経路さえ暗号化されていれば十分で、サーバのなりすましのことは心配しなくて良い、という要件なのであれば、検証の無効化はメリットがあると思います。
    >クライアント証明書...敷居が高い。もっともセキュア...
    上記とても参考になりました。このような要件時に無効化されているのですね。

    >サーバーサイド認証ですが...
    基本的にソースで実装はせず、コンテナ等で提供されているんですね。
    ご教示頂き、ありがとう御座います。

    SSL認証についてふわっとした知識しかないのでとても不安です。
    追加で大変恐縮なのですが、
    もし参考になる書籍やページをご存知でしたらご教示頂きたいです。

    キャンセル

+1

Q①:実際は「サーバー認証」のみであれば、サーバー側の証明書の準備が整っていれば十分なのではと考えておりますが、あっておりますでしょうか?

サーバ証明書が、パブリックなCA(ベリサインやグローバルサイン等)から発行されたものならその通りです。
そうでない場合(オレオレ証明書)には、クライアント側のTrustKeyStoreにRootCAを登録する必要があります。

Q②:SSL認証を考慮した実装方法をご教示ください。。(HttpsURLConnectionを使用したもの)setSSLSocketFactory等を使用?? 具体的に実装したいと思っているのは、 サーブレットからのHTTPS通信でのSSL認証になります。 

これが意味不明です。
単純にサービスを提供しているサーブレットにアクセスするクライアントを、クライアント認証を
使ったStrong Authを行いたいのですか?
わざわざ「サーブレットからのHTTPS通信」と書かれているので、サーブレット側から何処かに
新たにSSLを張るのでしょうか?
前者であれば、わざわざサーブレットで実装しなくても、APサーバで面倒見てくれますが。
(少なくとも、TomcatやJBoss,Glasfishはやってくれます)  

Q③:クライアント側の実装する際は「サーバー認証」にて証明書の中身の妥当性を判断する場合にSSL認証処理を実装する必要があると考えて良いでしょうか?※単に中身について見ないのであれば下記Javaのように普通につなぎに行って良いものでしょうか? HttpURLConnectionを使用しても問題ない認識でサーバー認証は裏でやってくれると思っております。

裏でやってくれます。  

Q④:下記URLにある実装で「SSL証明書の検証無効化とホスト名検証を無効化」する理由(メリット)は何なのでしょうか? 

証明書の有効性を確認しに行かないので、SSL開始時のセッションが少し早くなります。
但しサーバに使われている証明書がEV対応であるならば、絶対に無効化してはいけません。
EV証明書の意味がなくなってしまいます。
#詳細は長くなるので、省略させて下さい m(_ _)m

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/31 20:46

    ご回答有り難うございます。

    >サーバ証明書が、パブリックなCA(ベリサインやグローバルサイン等)から発行されたものならその通りです。 そうでない場合(オレオレ証明書)には、クライアント側のTrustKeyStoreにRootCAを登録する必要があります。
    オレオレ証明書とパブリックな証明書についての区別が今ひとつでしたが、調査の上理解を深めることができました。

    >Strong Authを行いたいのですか?
    Strong Authという言葉を初めて聞きました。無知で申し訳ございませんが、Strong Authがホスト名の検証とかの処理の総称であっていましたら、Strong Auth の認証処理のことを言っています。

    >証明書の有効性を確認しに行かないので、SSL開始時のセッションが少し早くなります。
    そうなんですね。!EV証明書についても存じておりませんでしたので、とても参考になりました。

    SSL認証についてふわっとした知識しかないのでとても不安です。
    追加で大変恐縮なのですが、
    もし参考になる書籍やページをご存知でしたらご教示頂きたいです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.45%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • Java

    16209questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • SSL

    607questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • servlet

    533questions

    Servletとは、Webページの動的な生成やデータ処理などをサーバ上で実行するために、Javaで作成されたプログラムです。 ショッピングサイトやオンラインバンキングといった、動的なウェブサイトの構築に用いられています。