Aalto University - Information Security Technology course Lecture.Full description
Configurazione SoapUI per SSL Rosario Turco
Spesso è necessario disporre di un client in SSL con autenticazione o con mutua autenticazione. La differenza è soprattutto nel client. Nel primo caso è sufficiente che il client abbia configurato un keystore JKS nel secondo occorre che faccia sia da client che da server. SOAPUI in questo caso torna abbastanza utile. Autenticazione
Andare su SOAP Preferences -> SSL Settings. Selezionare alla voce keyStore il file che contiene il keyStore del client (Client.jks). Impostare alla voce keyStore Password la password del keyStore selezionato al passo Authentication. precedente (CLIENT). Spuntare la voce “requires client authentication” relativa alla Client Authentication.
Ovviamente è da fare la creazione del keystore e assegnarli una password. Vedi APPENDICE per le operazioni di creazione certificati. Mutua autenticazione tra client e server
In tal caso serve configurare SOAPUI non solo come client ma anche come server e compilare tutte le parti Mock. APPENDICE
Nel seguito usiamo il software Openssl_098k_W32 Openssl_098k_W32 per Windows. SERVER A da testare
Creare directory: C:\MyCert\X509CA C:\MyCert\X509CA (è sia la CA del SistemaA, sia dove si generano i certificati e la catena) Copiare in C:\MyCert\X509CA il file openssl.cnf preso da Openssl_098k_W32 Adesso nel file copiato, copiato, modificare le linee nel seguente seguente modo:
= $dir/ca/SistemaA_ca_ $dir/ca/SistemaA_ca_pk.pem pk.pem # The private key
# The CA certificate
spostarsi in X509CA ed eseguire eseguire echo 01 > serial notepad index.txt Do you want to create a new file?, click Yes Poi su un’unica linea: openssl
req
-x509
-new
-config
openssl.cnf
-days
365
-out
ca/SistemaA_ca.pem –keyout
ca/SistemaA_ca_pk.pem Ad esempio si usa SistemaA per tutte le psw. Country Name State
Creare directory: C:\MyCert\X509CAClient C:\MyCert\X509CAClient (è sia la CA, sia dove si generano i certificati e la catena) Copiare in C:\MyCert\X509CAClient C:\MyCert\X509CAClient il file openssl.cnf preso da Openssl_098k_W32 Openssl_098k_W32 Adesso nel file copiato modificare le linee:
cnf dir = . certificate
= $dir/ca/client_ca.pem $dir/ca/client_ca.pem
private_key
= $dir/ca/client_ca_pk.pem $dir/ca/client_ca_pk.pem # The private key
# The CA certificate
In X509CAClient eseguire echo 01 > serial notepad index.txt Do you want to create a new file?, click Yes openssl req -x509 -new -config openssl.cnf -days 365 -out ca/client_ca.pem -keyout ca/client_ca_pk.pem CLIENT psw keytool -genkey -dname "CN=CLIENT, OU=TELECOM.DDT, O=TELECOM, ST=LAZIO, C=IT" -validity 365 -alias ClientAlias -keypass CLIENT -keystore Client.jks -storepass -storepass CLIENT keytool -certreq -alias ClientAlias -file Client_csr.pem -keypass CLIENT -keystore Client.jks -storepass CLIENT openssl ca -config openssl.cnf -days 365 -in Client_csr.pem -out Client.pem openssl x509 -in Client.pem -out Client.pem -outform PEM copy Client.pem + ca\Client_ca.pem ca\Client_ca.pem Client.chain keytool -import -file Client.chain -keypass CLIENT -keystore Client.jks -storepass CLIENT esportare il certificato di Client keytool -export -keystore Client.jks -alias ClientAlias -rfc -file Client.cer -storepass CLIENT client importa il certificato (il client importa il certificato di Arianna e usa il i l proprio jks e pasw) keytool -import -alias ClientAlias -file SistemaA.cer SistemaA.cer -keystore clienttruststore.jks -storepass CLIENT
