Problemas con Servidor SSLSockets KeyStore etc

Ayuda!

Buenas tardes, acudo ustedes desesperado por encontrar una solución, que sé, debe ser más fácil de lo que parece, sin embargo, no he encontrado un buen tutorial que me explique cómo hacerlo.

He leído en muchas partes la "manera" de hacerlo, pero cada tutorial explica diferentes cosas, de diferente manera, y las que se parecen al final no me dan resultado, en fin, no quejo más y les comento lo que quiero hacer:

Programé un servidor y un cliente (ServerSocket/Socket) sencillo para acceder a la información de una BD en Acces y así resolver de manera rápida unas necesidades de la empresa para la cual trabajo, no es información delicada y no me preocupa si alguien la captura y lee etc., sin embargo, la aplicación causó tal impacto (El ADM de sistemas anterior nunca logró algo así) que ahora me están solicitando un sistema para obtener diferente información de la BD.

Por tal motivo, ahora sí me preocupa la seguridad del servidor, y no puedo dejar la información "Al aire" por así decirlo, y quiero utilizar Sockets SSL, he leído muchísimos tutoriales (llevo casi 2 semanas en el asunto), formas diferentes de hacerlo sin lograr NADA, tanto que he llegado al punto en creer que estoy dando vueltas donde mismo, a algo que he visto muchos resuelven en unas cuantas líneas de código.

Primero, generar la keystore, los certificados, la firma de la CA (Hice mi propia CA, con OpenSSL) etc al final resulta alguna excepción, falta un arhcivo, algún método no concuerda con la extención de X archivo que creé utilizando tal herramienta ETC.

Podrían por favor, ayudarme con esto, cuál es la forma correcta de hacerlo, cómo registrar lo que tenga que registrar, qué debe y qué no debe llevar mi código para que tome los certificados etc. Ya tengo un gran retraso en mi trabajo a causa de no encontrar algo sólido que me funcione.

De antemano, muchas gracias.

PD:
He utilizado las herramientas KeyStoreExplorer 5.1.1 en Windows y OpenSSL en Ubuntu, además de la KeyTool de Java.

Creo que no te has informado correctamente.

Las comunicaciones SSL/TLS son comunicaciones encriptadas con una clave simétrica, y lo único que necesitas es instalar en el servidor un certificado y admitir conexiones https. Dependiendo del servidor se configurará de forma distinta.

https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

En el caso de java, los almacenes de certificados son los keystore.

Cuando dices que has creado tu propio CA, estás en un error. Un CA no es más que una entidad de "prestigio" que respalda tu certificado (cobrando)

https://es.wikipedia.org/wiki/Autori...ificaci%C3%B3n

por lo que es absurdo que tengas un certificado propio respaldado por otro certificado propio.

¿Para qué sirve esto? Pues por ejemplo los navegadores traen una serie de certificados de CA que te permitirán aceptar sin problemas comunicaciones con páginas https cuyos cetificados estén respaldados por esas compañías, de lo contrario te mostrarán avisos o te bloquearán el acceso a menos que tú les digas que confías en esa página/certificado.

Luego habría que ver si quieres que el cliente a su vez se identifique con su propio certificado, que estaría relacionado con el certificado del servidor.

Aquí tienes un ejemplo,con y sin un certificado respaldado

http://www.herongyang.com/JDK/SSL-So...ketClient.html
http://www.herongyang.com/JDK/SSL-So...s-Trusted.html

Buenos días, agradezco su pronta respuesta.

Bueno, algo que no aclaré al inicio del post, es que no hace mucho que egresé, no lo digo como justificación sino como Aun me queda mucho por aprender!, por lo que todo lo que he hecho ha sido siguiendo tutoriales y/o ejemplos, intenado obtener algo funcional y confiable.

En cuanto a la CA, sé que son empresas que firman nuestros certificados y que tiene un costo, sin enmbargo en una de las tantas páginas que he visitado encontré la manera de hacer una CA NO OFICIAL para "respaldar" certificados utilizados en la red de la empresa etc (Red privada), no entraré a detalle porque no es lo que busco pero agradezco tu comentario.

Revisaré los enlaces que me compartes agradeciéndote de antemano la ayuda que puedas darme en las dudas que me surgan, esperando sean pocas.

A todos los demás, agradezco también sus comentarios.

Sigues sin entenderlo, un CA no oficial no es un CA, y no sirve para nada.

¿A quien le interesa un certificado respaldado por un certificado no respaldado? Para eso confías en el primer certificado y ya está.

Me da la impresión de que confundes certificado autofirmado y CA.

http://www.yukei.net/2014/07/certifi...irmado-seguro/

Hola:

"¿A quien le interesa un certificado respaldado por un certificado no respaldado? Para eso confías en el primer certificado y ya está.".

Este tipo de cosas tiene su utilidad para "intranets". Creas un CA no oficial para la empresa y lo instalas como autoridad de confianza en todos los servidores/clientes que necesites de esa empresa. Esa empresa podrá crear sus propios certificados para sus clientes/empleados sin necesidad de depender (y pagar) a alguien externo.

Un ejemplo concreto que hice en su día era para una empresa que quería ofrecer un web service solo a usuarios con certificado de cliente. Ese servicio web aceptaba cualquier certificado de cliente firmado por una determinada CA .... que yo mismo generé (con los datos de ellos) y dí a la empresa. De esta forma, la misma empresa puede generar sus propios certificados para sus clientes según los vaya necesitando.

Se bueno.

Como lo escribió chuidiang, y como lo redacté en mi respuesta, dentro de la red privada, red de la empresa.

Pero no perdamos el punto, pedí su ayuda con Conexiones con Sockets y SSL.
Gracias...

Hola:

Mira a ver si esto te sirve http://chuwiki.chuidiang.org/index.p...t_SSL_con_Java. El ejemplo de ahí funciona tal cual, aunque no he probado con certificados CA, pero "se supone" que metiéndolos en el trustStore debería valer.

Se bueno.

Visto así, tiene sentido.

En todas las intranet para las que he desarrollado nunca se ha puesto un certificado para las conexiones internas, sistemas restringía el acceso a las máquinas según ip/usuario, aparte de los usuarios de aplicación que pudiésemos poner nosotros.

Para acceso desde el exterior, los certificados los gestionan también sistemas a través del proxy/firewall por lo que al servidor llegaba la llamada en http. No sé el motivo, imagino que por comodidad a la hora de trabajar con balanceadores.

Buenas tardes a todos.
Quiero agradecer su ayuda con mi problema, y les comento que "Al parecer" está resuelto, y digo parecer porque aun hay código por teclear.

Gracias al aporte de nuestro compañero "chuidiang' el cual me ha sido totalmente claro y funcional, he logrado hacer mi Servidor con su Cliente y establecer una conexión SSL exitosa.

También intenté con los ejemplos de nuestro compañero Xerelo, más obtuve muchas excepciones que por cuestiones de tiempo no resolví.

Ya les iré publicando mis dudas y esperando sea como esta vez, contar con su apoyo.

Nuevamente, muchas gracias....!!