SSLSocketFactory.java

  1. /*
  2.  * GovWay - A customizable API Gateway 
  3.  * https://govway.org
  4.  * 
  5.  * Copyright (c) 2005-2025 Link.it srl (https://link.it). 
  6.  * 
  7.  * This program is free software: you can redistribute it and/or modify
  8.  * it under the terms of the GNU General Public License version 3, as published by
  9.  * the Free Software Foundation.
  10.  *
  11.  * This program is distributed in the hope that it will be useful,
  12.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14.  * GNU General Public License for more details.
  15.  *
  16.  * You should have received a copy of the GNU General Public License
  17.  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
  18.  *
  19.  */

  21. package org.openspcoop2.security.keystore;

  23. import java.io.Serializable;
  24. import java.util.HashMap;

  26. import javax.net.ssl.SSLContext;

  28. import org.apache.commons.lang.StringUtils;
  29. import org.openspcoop2.protocol.sdk.state.RequestInfo;
  30. import org.openspcoop2.security.SecurityException;
  31. import org.openspcoop2.security.keystore.cache.GestoreKeystoreCache;
  32. import org.openspcoop2.security.keystore.cache.GestoreOCSPResource;
  33. import org.openspcoop2.security.keystore.cache.GestoreOCSPValidator;
  34. import org.openspcoop2.utils.certificate.KeyStore;
  35. import org.openspcoop2.utils.certificate.byok.BYOKProvider;
  36. import org.openspcoop2.utils.certificate.byok.BYOKRequestParams;
  37. import org.openspcoop2.utils.transport.http.IBYOKUnwrapManager;
  38. import org.openspcoop2.utils.transport.http.IOCSPValidator;
  39. import org.openspcoop2.utils.transport.http.SSLConfig;
  40. import org.openspcoop2.utils.transport.http.SSLUtilities;

  42. /**
  43.  * SSLSocketFactory
  44.  *
  45.  * @author Andrea Poli (apoli@link.it)
  46.  * @author $Author$
  47.  * @version $Rev$, $Date$
  48.  */
  49. public class SSLSocketFactory implements Serializable {

  51.     /**
  52.      * 
  53.      */
  54.     private static final long serialVersionUID = 1L;
  55.     
  56.     private SSLConfig sslConfig;
  57.     private transient javax.net.ssl.SSLSocketFactory sslSocketFactoryObject;
  58.     

  60.     @Override
  61.     public String toString() {
  62.         StringBuilder bf = new StringBuilder();
  63.         bf.append("SSLContextFactory (").append(this.sslConfig).append(") ");
  64.         return bf.toString();
  65.     }
  66.     
  67.     public SSLSocketFactory(RequestInfo requestInfo, SSLConfig sslConfig) throws SecurityException{
  68.         this.sslConfig = sslConfig;
  69.         this.initFactory(requestInfo);
  70.     }
  71.     
  72.     private void checkInit(RequestInfo requestInfo) throws SecurityException{
  73.         if(this.sslSocketFactoryObject==null) {
  74.             this.initFactory(requestInfo);
  75.         }
  76.     }
  77.     private String getErrorMessage(String location, Exception e, boolean keystore) {
  78.         return "Lettura "+(keystore?"keystore":"truststore")+" '"+location+"' dalla cache fallita: "+e.getMessage();
  79.     }
  80.     private synchronized void initFactory(RequestInfo requestInfo) throws SecurityException{
  81.         if(this.sslSocketFactoryObject==null) {
  82.             try{
  83.                 // Gestione https
  84.                 if(this.sslConfig!=null){
  85.                     
  86.                     // provo a leggere i keystore dalla cache
  87.                     IBYOKUnwrapManager byokManager = null;
  88.                     if(this.sslConfig.getKeyStoreLocation()!=null) {
  89.                         BYOKRequestParams byokParams = null;
  90.                         if(BYOKProvider.isPolicyDefined(this.sslConfig.getKeyStoreBYOKPolicy())){
  91.                             byokParams = BYOKProvider.getBYOKRequestParamsByUnwrapBYOKPolicy(this.sslConfig.getKeyStoreBYOKPolicy(), 
  92.                                     this.sslConfig.getDynamicMap()!=null ? this.sslConfig.getDynamicMap() : new HashMap<>() );
  93.                         }
  94.                         try {
  95.                             KeyStore keystore = GestoreKeystoreCache.getMerlinKeystore(requestInfo, this.sslConfig.getKeyStoreLocation(), 
  96.                                     this.sslConfig.getKeyStoreType(), this.sslConfig.getKeyStorePassword(),
  97.                                     byokParams).getKeyStore();
  98.                             this.sslConfig.setKeyStore(keystore.getKeystore(), keystore.isKeystoreHsm());
  99.                         }catch(Exception e) {
  100.                             String msgError = getErrorMessage(this.sslConfig.getKeyStoreLocation(),e,true);
  101.                             this.sslConfig.getLoggerBuffer().error(msgError, e);
  102.                         }
  103.                         if(this.sslConfig.getKeyStore()==null && byokParams!=null) {
  104.                             // operazione precedente non riuscita
  105.                             byokManager = new BYOKUnwrapManager(this.sslConfig.getKeyStoreBYOKPolicy(), byokParams);
  106.                         }
  107.                     }
  108.                     if(this.sslConfig.getTrustStoreLocation()!=null) {
  109.                         try {
  110.                             KeyStore truststore = GestoreKeystoreCache.getMerlinTruststore(requestInfo, this.sslConfig.getTrustStoreLocation(), 
  111.                                     this.sslConfig.getTrustStoreType(), this.sslConfig.getTrustStorePassword()).getTrustStore();
  112.                             this.sslConfig.setTrustStore(truststore.getKeystore(), truststore.isKeystoreHsm());
  113.                         }catch(Exception e) {
  114.                             String msgError = getErrorMessage(this.sslConfig.getTrustStoreLocation(),e,false);
  115.                             this.sslConfig.getLoggerBuffer().error(msgError, e);
  116.                         }
  117.                     }
  118.                     
  119.                     IOCSPValidator ocspValidator = null;
  120.                     boolean crlByOcsp = false;
  121.                     if(this.sslConfig.getTrustStoreOCSPPolicy()!=null){
  122.                         String policyType = this.sslConfig.getTrustStoreOCSPPolicy();
  123.                         if(policyType!=null && StringUtils.isNotEmpty(policyType)) {
  124.                             GestoreOCSPResource ocspResourceReader = new GestoreOCSPResource(requestInfo);
  125.                             String crlInputConfig = this.sslConfig.getTrustStoreCRLsLocation();
  126.                             ocspValidator = new GestoreOCSPValidator(requestInfo, this.sslConfig.getLog4jBuffer(), crlInputConfig, policyType, ocspResourceReader);
  127.                             if(ocspValidator!=null) {
  128.                                 GestoreOCSPValidator gOcspValidator = (GestoreOCSPValidator) ocspValidator;
  129.                                 if(gOcspValidator.getOcspConfig()!=null) {
  130.                                     crlByOcsp = gOcspValidator.getOcspConfig().isCrl();
  131.                                 }
  132.                             }
  133.                         }
  134.                     }
  135.                     
  136.                     if(this.sslConfig.getTrustStoreCRLsLocation()!=null && !crlByOcsp) {
  137.                         try {
  138.                             this.sslConfig.setTrustStoreCRLs(GestoreKeystoreCache.getCRLCertstore(requestInfo, this.sslConfig.getTrustStoreCRLsLocation()).getCertStore());
  139.                         }catch(Exception e) {
  140.                             String msgError = "Lettura CRLs '"+this.sslConfig.getTrustStoreLocation()+"' dalla cache fallita: "+e.getMessage();
  141.                             this.sslConfig.getLoggerBuffer().error(msgError, e);
  142.                         }
  143.                     }
  144.                     
  145.                     StringBuilder bfSSLConfig = new StringBuilder();
  146.                     SSLContext sslContext = SSLUtilities.generateSSLContext(this.sslConfig, ocspValidator, byokManager, bfSSLConfig);
  147.                     this.sslSocketFactoryObject = sslContext.getSocketFactory();
  148.                     
  149.                     if(this.sslConfig.getLoggerBuffer()!=null) {
  150.                         String msgDebug = bfSSLConfig.toString();
  151.                         this.sslConfig.getLoggerBuffer().debug(msgDebug);       
  152.                     }
  153.                 }

  155.             }catch(Exception e){
  156.                 throw new SecurityException(e.getMessage(),e);
  157.             }
  158.         }
  159.     }
  160.     
  161.     public javax.net.ssl.SSLSocketFactory getSslSocketFactory(RequestInfo requestInfo) throws SecurityException {
  162.         this.checkInit(requestInfo); // per ripristino da Serializable
  163.         return this.sslSocketFactoryObject;
  164.     }   


  167. }
Created with JaCoCo 0.8.8.202204050719