JMX over TLS

vorhergehende Artikel in: PKI-X.509-CA Java Security
25.05.2026

Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der vorliegende Artikel erläutert die Absicherung der Java ManagementExtensions (JMX) mittels TLS. Die Java Management Extensions sind ein mächtiges Werkzeug - nicht nur zur Überwachung von Java-Anwendungen, sondern auch zu ihrer Steuerung. Wichtig wäre es daher, den Datenverkehr, der dabei anfällt gegen Manipulation zu sichern. Genau das wird durch den Einsatz von Transport Layer Security erreicht

Um JMX wirklich sinnvoll nutzen zu können, muss es remote verwendbar sein: Man muss von einem entfernten Rechner aus in der Lage sein, auf die entsprechende Schnittstelle zuzugreifen. Dies geschieht durch das korrekte Setzen der benötigten System-Properties:

-Dcom.sun.management.jmxremote=true \
-Dcom.sun.management.jmxremote.port=11111 \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=false

Nun kann man mit Werkzeugen wie VisualVM oder JConsole diese Schnittstelle in der jeweiligen Anwendung zur Steuerung und Überwachung nutzen. Mit diesen Einstellungen läuft die Kommunikation aber immer noch unauthentifiziert und in Klartext ab. Um das zu ändern, müssen einige der Einstellungen geändert und einige weitere korrekt konfiguriert werden

-Dcom.sun.management.jmxremote=true \
-Dcom.sun.management.jmxremote.port=11111 \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=true \
-Djavax.net.ssl.keyStore=/tmp/identity_rmi.jks \
-Djavax.net.ssl.keyStorePassword=passwd \
-Dcom.sun.management.jmxremote.registry.ssl=true

Damit ist die Schnittstelle seitens der Anwendung nun korrekt konfiguriert und spricht TLS. Auf Seiten Werkzeuges zur Verwendung der Schnittstelle muss der benutzte Truststore noch so konfiguriert werden, dass dem JMX-Zertifikat der Anwendung vertraut wird (sofern dieses nicht von einer CA ausgestellt wurde, der Java von Haus aus vertraut). Ist die digitale Identität eine, die zu Testzwecken als self-signed ausgestellt wurde, kann man einen entsprechended Truststore wie folgt erstellen:

# prüfen, ob JMX over TLS aktiv ist
openssl s_client -connect tichy.fritz.box:11111
# Zertifikat holen und im pem-Format speichern
openssl s_client -showcerts -connect tichy.fritz.box:11111 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p'>/tmp/trusted.pem
# Zertifikat in der-Format konvertieren
openssl x509 -outform der -in /tmp/trusted.pem -out /tmp/trusted.der
# Neuen Truststore im Format JKS erstellen und Zertifikat hinzufügen
keytool -import -alias your-alias -keystore /tmp/trusted.jks -file /tmp/trusted.der

Im Falle, dass man einen eigenen Truststore erstellen muss kann dieser JConsole mittels

jconsole -J-Djavax.net.ssl.trustStore=/tmp/trusted.jks -J-Djavax.net.ssl.trustStorePassword=123456

mitgegeben werden.

Für VisualVM sollte das entsprechende Plugin benutzt werden, das unter anderem die Konfiguration des zu nutzenden Truststore per GUI ermöglicht.

Meine Empfehlung der absolut minimal zu installierenden Plugins für VisualVM:

  • VisualVM-Security
  • VisualVM-MBeans
  • VisualVM-JConsole

Artikel, die hierher verlinken

Asymmetrische Kryptographie

25.05.2026

Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Keycloak und LDAP

    11.07.2021

    Nachdem ich neulich bereits über die erfolgreiche Kopplung zwischen Keycloak und LDAP berichtete, bin ich noch einige Schritte weitergegangen...

    Weiterlesen

Neueste Artikel

  • SBOMs für alte Java-Projekte II

    Ich habe bereits vor einiger Zeit eine Möglichkeit präsentiert, SBOMs aus alten Java-Projekten zu erstellen. Ich bin neulich einer speziellen Form von Java-Projekten begegnet, die mich dazu bewogen hat, mich auch hierfür an der (nachträglichen) Erstellung einer SBOM zu versuchen...

    Weiterlesen
  • Mini-QR und Silverbullet neu im Docker-Zoo

    Ich habe eine weitere Alternative zum Aufnehmen von Notizen in meinen Docker-Zoo aufgenommen

    Weiterlesen
  • Neue Möglichkeiten zur Visualisierung von Modulverbindungen

    Ich habe wieder einmal im Urlaub grundlegende Architekturänderung in meinem Framework, das auch die Grundlage für die sQLshell und dWb+ darstellt vorgenommen.

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.