Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der vorliegende Artikel erläutert die Absicherung der Java ManagementExtensions (JMX) mittels TLS. Die Java Management Extensions sind ein mächtiges Werkzeug - nicht nur zur Überwachung von Java-Anwendungen, sondern auch zu ihrer Steuerung. Wichtig wäre es daher, den Datenverkehr, der dabei anfällt gegen Manipulation zu sichern. Genau das wird durch den Einsatz von Transport Layer Security erreicht

Um JMX wirklich sinnvoll nutzen zu können, muss es remote verwendbar sein: Man muss von einem entfernten Rechner aus in der Lage sein, auf die entsprechende Schnittstelle zuzugreifen. Dies geschieht durch das korrekte Setzen der benötigten System-Properties:

-Dcom.sun.management.jmxremote=true \
-Dcom.sun.management.jmxremote.port=11111 \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=false

Nun kann man mit Werkzeugen wie VisualVM oder JConsole diese Schnittstelle in der jeweiligen Anwendung zur Steuerung und Überwachung nutzen. Mit diesen Einstellungen läuft die Kommunikation aber immer noch unauthentifiziert und in Klartext ab. Um das zu ändern, müssen einige der Einstellungen geändert und einige weitere korrekt konfiguriert werden

-Dcom.sun.management.jmxremote=true \
-Dcom.sun.management.jmxremote.port=11111 \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=true \
-Djavax.net.ssl.keyStore=/tmp/identity_rmi.jks \
-Djavax.net.ssl.keyStorePassword=passwd \
-Dcom.sun.management.jmxremote.registry.ssl=true

Damit ist die Schnittstelle seitens der Anwendung nun korrekt konfiguriert und spricht TLS. Auf Seiten Werkzeuges zur Verwendung der Schnittstelle muss der benutzte Truststore noch so konfiguriert werden, dass dem JMX-Zertifikat der Anwendung vertraut wird (sofern dieses nicht von einer CA ausgestellt wurde, der Java von Haus aus vertraut). Ist die digitale Identität eine, die zu Testzwecken als self-signed ausgestellt wurde, kann man einen entsprechended Truststore wie folgt erstellen:

# prüfen, ob JMX over TLS aktiv ist
openssl s_client -connect tichy.fritz.box:11111
# Zertifikat holen und im pem-Format speichern
openssl s_client -showcerts -connect tichy.fritz.box:11111 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p'>/tmp/trusted.pem
# Zertifikat in der-Format konvertieren
openssl x509 -outform der -in /tmp/trusted.pem -out /tmp/trusted.der
# Neuen Truststore im Format JKS erstellen und Zertifikat hinzufügen
keytool -import -alias your-alias -keystore /tmp/trusted.jks -file /tmp/trusted.der

Im Falle, dass man einen eigenen Truststore erstellen muss kann dieser JConsole mittels

jconsole -J-Djavax.net.ssl.trustStore=/tmp/trusted.jks -J-Djavax.net.ssl.trustStorePassword=123456

mitgegeben werden.

Für VisualVM sollte das entsprechende Plugin benutzt werden, das unter anderem die Konfiguration des zu nutzenden Truststore per GUI ermöglicht.

Meine Empfehlung der absolut minimal zu installierenden Plugins für VisualVM:

• VisualVM-Security
• VisualVM-MBeans
• VisualVM-JConsole

Links

Artikel, die hierher verlinken