Příspěvky

151

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 18. 03. 2020, 14:41:52 »

Což ale bude fungovat jedině v případě, kdy aplikace výchozí truststore používá.

v mém případě nepoužívá

152

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 23:39:45 »

Pokud to nemají špatně pojmenované, pak to slouží k něčemu jinému. Asi je tedy možnost používat pouze přihlášení jménem a heslem. Truststore slouží pro uložení certifikátů, kterým důvěřujete – v tomto případě by to tedy mohl být jen veřejný klíč SSH serveru. Privátní klíč do truststore nepatří.

taky mi to celou dobu nšmakovalo ...SFTP a SSL ..to jsem nikdy neviděl
teď jsem si všiml, že tam na tom adapteru je ještě možnost to přepnout na FTPS tak to SSL bude jen pro tento případ

moc díky

153

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 21:23:17 »

Předpokládám, že tenhle soubor by vám měl pro připojení z té aplikace stačit. Nevím o žádné knihovně SSH pro Javu, která by pro autentizaci klíčem používala Java KeyStore a ne OpenSSH formát.

Moc děkuji za Vaši ochotu mi pomoct.
Každopádně v té web Java aplikaci je na SFTP adaptéru mimo standardní user, pass, etc...pro klíče pouze možnost:
ssl trustStoreURI  a   ssl trustStorePassword
a tam se mi nedaří tento soubor dostat, lze tam vložit pouze certifikaty. Našel jsem link, kde někdo řeší podobný problém:
https://stackoverflow.com/questions/31385944/how-to-add-ssh-identity-file-keypair-to-jks-keystore

154

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 20:28:54 »

Private key je privátní klíč pro přihlášení. Ten nemůže být v truststore ale v keystore. Nejde o to náhodně převádět mezi sebou různé formáty souborů, ale musíte vědět, co (jaký obsah) kam patří. Tj. zjistěte, jak se má ověřovat server (zda podle veřejného klíče nebo jeho otisku), a jakým způsobem se budete přihlašovat (zda heslem nebo privátním klíčem).

v PuttyKeyGen jsem vygeneroval Public a Private keys.
PublicKey jsem umístil na SFTP server
U sebe na klientovi jsem do jedno složky umístil Private i Public a Private namapoval v konfiguraci WInSCP(SSH Authentication)
z čehož usuzuji že aby winscp navázalo spojení potřebuje v tom adresáři oba klíče

155

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 19:09:54 »

napadá mě, že bych mohl ppk převést do pem a ten pak společně s publickey(rsa) zavřít do jks

156

Vývoj / Re:Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 18:57:43 »

Při použití SFTP byste měl kontrolovat veřejný klíč serveru – při použití OpenSSH se to dělá pomocí otisku veřejného klíče, dá se kontrolovat i celý klíč. ...

ve WinSCP(zde vše valí jak má) v sekci SSH -> Authentication - > Private key file:
mám cestu do složky s privatním klíčem .ppk  , ves tejne složce mám i publickey(rsa)

takže bych měl do keystore vložit tento rsa publickey?

157

Vývoj / Re:Java KeyStore

« kdy: 17. 03. 2020, 18:11:17 »

.....

ano máte pravdu...mám i publickey a přes WINSCP se tak spojuji
teď to stejné potřebuji v té Java web plikaci (SAP integrační framework), kde ten adapter na SFTP umožňuje zadat uri k .jks

158

Vývoj / Re:Java KeyStore

« kdy: 17. 03. 2020, 17:51:27 »

Truststore slouží k uložení důvěryhodných certifikátů (ne klíčů). Takže privátní klíče z .ppk to nebudou. Ovšem v jakém formátu to truststore má být, to z toho jasné není – může to být JKS (může obsahovat i jen důvěryhodné certifikáty, bez klíčů), ale klidně to může být i DER certifikát v binárním kódování nebo v BASE64. Novější Java aplikace už si obvykle umí poradit i s těmito formáty.

ano .jks
Chápu to nyní tedy tak, že tam mohu uložit jen certifikát(der, cer, p12) a né putty/sftp klíče.
I když bych ty klíče zkonvertoval na certifikát, tak se obávám, že tomu zase nebude rozumět SFTP server.

159

Vývoj / Re:Java KeyStore

« kdy: 17. 03. 2020, 17:41:42 »

.ppk je pokud vím formát, který používá Putty. Pokud z něj vyextrahujete klíče, můžete je uložit i do Java KeyStore. Ale proč byste to dělal? Putty s formátem JKS pracovat neumí.

díky za reakci...
- experimentuju s platformou co běží jako webová aplikace v Javě a je tam "adapter" pro spojení na SFTP
- SFTP na které se potřebuji spojit vyžaduje klíč
- v té webové platformě mohu pouze zadat ssl trustStoreURI
a tak řeším jak na to

160

Vývoj / Re:Java KeyStore

« kdy: 17. 03. 2020, 17:12:46 »

1) ano pouze na certifikaty a privatni klice
2) musi, ale casto se pouziva default heslo "changeit"
3) viz. 1

díky....je tedy možné to využít k uložení .ppk klíče pro SFTP?

161

Vývoj / Jak funguje Java KeyStore?

« kdy: 17. 03. 2020, 16:11:58 »

poprvé se setkávám s Java KeyStore .jks
1) mám to chápat jako peněženku na certifikáty?
2) vždy musí být peněženka zamčená heslem?
3) jaké datové typy souborů do toho mohu uložit? 

162

Sítě / Re:MikroTik blokuje odchozí port 1194

« kdy: 15. 03. 2020, 09:52:57 »

tak opravdu to páchal switch!
má několik features:
Auto DoS      
Prevent Land Attack      
Prevent TCP Blat Attack      
Prevent UDP Blat Attack      
Prevent Invalid TCP Flags Attack      
Prevent TCP Fragment Attack      
Check First Fragment Only      
Prevent Smurf Attack      
Prevent Ping Flood Attack      
Prevent SYN Flood Attack

všechny jsem je vypnul a je klid, oVPN se spojí.
Napadá mne zda v konfiguraci oVPN klienta není nějaké metoda šifrování, kterou když switch v paketu vidí, tak to zablokuje.

163

Sítě / Re:MikroTik blokuje odchozí port 1194

« kdy: 14. 03. 2020, 21:58:50 »

Tipnul bych si na nefunkční NAT na Mikrotiku. Řekl bych, že ten paket sežere sám a TLS error je pak chyba toho, že se pokoušíš připojit na jiný stroj, než jsi chtěl. Zkus dump na vnitřním iterface mikrotiku a uvidíš, jestli se bude od mikrotiku vracet nějaká odpověď.

Takové podezdření právě mám...
Zkusil jsem poslouchat na portu kterej je spojenej se switchem a přes switch jde klient.
V době kdy zkouším na klientovi vytočit openVPN tam prolitne neco na protokolu UDP IPV6.
VPN mám na UDP, ale nikde nepoužívám IPV6.....pěkně záhadné

164

Sítě / Re:Mikrotik - blokuje odchozí 1194

« kdy: 14. 03. 2020, 13:22:58 »

TLS error neznamená, že se nedaří navázat spojení, ale je to chyba při šifrování komunikace – nedůvěryhodný certifikát, obě strany se nedomluví na podporovaných protokolech či algoritmech apod.

Stejný notebook ze kterého to zkouším spojím přes mobilní hotspot a okamžitě se to chytne.
Ještě mám podezření na switch HP Procurve(management) co mi stojí v cestě, protože snifováním na interface Mikrotiku nebyla vůbec vidět komunikace s destination vzdalené VPNky

165

Sítě / MikroTik blokuje odchozí port 1194

« kdy: 14. 03. 2020, 12:21:46 »

Ahoj,
řeším velmi záhadný problém.
Na mikrotiku mám openVPN server na default port 1194. Spojení na něj funguje v pořádku.
Problém je když se klienti z lokální sítě spojují na openVPN (PFsense) v internetu který beží na stejném portu 1194 a mimo to ještě na 1196.

Pokud se klienti spojují na  openVPN (PFsense) na port 1194, tak to neprojde (TLS error...) na port 1196 vše OK.
Jakmile se na openVPN (PFsense) 1194 spojuji z jiné sítě vše OK.

Nedaří se mi dohledat proč Mikrotik v mojí síti spojení na externí openVPN 1194 shodí. Firewall to není, pač jsem zkusil všechny pravidla umlčet a beze změny.