JVM Optionen für WebService ändern

[Malte]

Versuch's doch mal mit einem Eintrag in folgender Datei:

/QIBM/UserData/Java400/SystemDefault.properties

Das habe ich jetzt einmal probier leider ohne Erfolg.
Muss ich noch was neu Starten?

@Fuerchau
Mein Verdacht war das ich den Zertifikatsfehler bekomme weil ich das mit der IP und nicht mit dem Namen anspreche

[Fuerchau]

Du brauchst lokal ein Zertifikat zur Prüfung des Hosts.
Vielleicht kannst du aus dem folgenden Beitrag entnehmen, wie man in Java jeden Host akzeptiert:

https://stackoverflow.com/questions/...ct-alternative

[andreaspr@aon.at]

Das Problem sollte mit dem Host-Eintrag gelöst sein.
Ob man beim Ändern der DNS Reihenfolge irgendetwas neu starten muss, ist hier die Frage.
Die Sinnhaftigkeit von Zertifikaten und Host-Checks sollte nicht einfach ausgehebelt werden.
Gerade heute trifft man immer mehr auf Firmen die Schäden durch Cyber Attacken davongetragen haben.
Das Zertifikat sollte immer geprüft werden.
Handelt es sich um ein Self-Signed Zertifikat, so wird dieses halt einfach im Keystore von Java oder DCM hinterlegt und auch dieses Problem ist damit gelöst.

[Fuerchau]

Bei Angriffen geht es eher um aktive Inhalte als um passive Daten. Da sollte SSL bereits ausreichen.
Die dynamischen Zertifikate á la lets encrypt sind da auch nicht sicherer und eigentlich nur Browser geeigent.

[andreaspr@aon.at]

Ich sag nur Stichwort: Man in the middle

[Fuerchau]

"Simuliert der Angreifer dann einen gültigen Webserver, hat er gute Chancen, als MITM unerkannt zu bleiben".
Ich denke zu dieser Simulation gehört eben auch ein gültiges Zertifikat. Wo ist da die Sicherheit?
Außerdem hängt er ja irgendwo dazwischen, so dass ich glaube mit der richtigen IP verbunden zu sein.
Eine Direktverbindung gibts im Netz ja nicht, da sind ja durchaus zig Gateways dazwischen.

Aber das ist ein anderes Thema.

[Malte]

ok ich habe das mit der Namesauflösung jetzt hinbekommen in dem ich die Suchprio für DNS auf local gestellt habe.
nun muss ich nur noch das Problem das ich kein Zertifikat habe lösen.

Diese Fehlermeldung bekomme ich jetzt:
HTTPG00007 wird mit der Ausnahmebed. com.ibm.jsse2.util.h: PKIX path building failed:
com.ibm.security.cert.IBMCertPathBuilderException: unable to find valid certification path to requested target abgebrochen

Wie kann ich denn über den DCM ein Zertifikat einspielen? Ich habe da bis jetzt nur welche erstellt.

[andreaspr@aon.at]

Wie kann ich denn über den DCM ein Zertifikat einspielen? Ich habe da bis jetzt nur welche erstellt.

Du musst das Zert via Browser oder Tool (openssl, ...) exportieren, ins IFS stellen und dann im DCM unter Zertifikate importieren.

[Malte]

ich hab das Zertifikat im DCM inden *SYSTEM Zertifikatsspeicher geladen.
Das Zertifikat finde ich jetzt auch unter dem Punkt Zertifizierungsinstanz

Bei Server und Client konnte ich es nichtImportieren da habe ich deise Fehlermeldung bekommen:

Kein Anforderungsschlüssel für das Zertifikat gefunden. Wenn Sie das signierte Zertifikat empfangen wollen, müssen Sie denselben Zertifikatsspeicher verwenden, der bei der Zertifikatsanforderung benutzt wurde. Wenn es sich um ein Zertifikat der Zertifizierungsinstanz handelt, müssen Sie die Funktion zum Importieren einer Zertifizierungsinstanz verwenden.

leider habe ich beim ansprechen des Web Service immer noch den gleichen Fehler

Kein Anforderungsschlüssel für das Zertifikat gefunden. Wenn Sie das signierte Zertifikat empfangen wollen, müssen Sie denselben Zertifikatsspeicher verwenden, der bei der Zertifikatsanforderung benutzt wurde. Wenn es sich um ein Zertifikat der Zertifizierungsinstanz handelt, müssen Sie die Funktion zum Importieren einer Zertifizierungsinstanz verwenden.

[andreaspr@aon.at]

"Simuliert der Angreifer dann einen gültigen Webserver, hat er gute Chancen, als MITM unerkannt zu bleiben".
Ich denke zu dieser Simulation gehört eben auch ein gültiges Zertifikat. Wo ist da die Sicherheit?
Außerdem hängt er ja irgendwo dazwischen, so dass ich glaube mit der richtigen IP verbunden zu sein.
Eine Direktverbindung gibts im Netz ja nicht, da sind ja durchaus zig Gateways dazwischen.

Aber das ist ein anderes Thema.

Hacker freuen sich immer wieder für solche Situationen.
MITM & Co gibt es in diversen Konstellationen. Je mehr Sicherheit man ignoriert, desto mehr freuen sich die Hacker.
Gibt genug Firmen die die bittere Erfahrung machen mussten.