Saturday, 10 October 2009

Instalar Bouncy Castle en JBoss

Si alguna vez habéis intentado instalar en JBoss una o varias aplicaciones que hacen uso de la librería criptográfica Bouncy Castle, y sin explicación alguna habéis obtenido errores del tipo:

java.lang.SecurityException: JCE cannot authenticate the provider BC
o del tipo
java.security.NoSuchAlgorithmException: Error constructing implementation (algorithm: SHA1WithRSAEncryption, provider: BC, class: org.bouncycastle.jce.provider.JDKDigestSignature$SHA1WithRSAEncryption)
os contaré como he solucionado el problema.

En la documentación de Bouncy Castle nos comentan que hay varias formas de inicializar la librería.

De forma estática

Consiste en instalar la librería en nuestro JRE (Java Runtime Environment), y configurarlo como un proveedor de seguridad válido. Los pasos son los siguientes:

  1. Buscar el directorio de nuestro JRE
    Dependiendo de nuestro sistema operativo (Windows, Linux, o Mac OS), el directorio del JRE se encuentra en un sitio distinto. Llamaremos JRE_HOME a este directorio.

  2. Copiar la librería de Bouncy Castle en el siguiente directorio: JRE_HOME/lib/ext
    Yo he usado el fichero 'bcprov-jdk16-144.jar', que es la versión 1.44 de la librería, compilada para Java 6.

  3. Editar el archivo JRE_HOME/lib/security
    El contenido será algo como esto:
    security.provider.1=sun.security.provider.Sun
    security.provider.2=sun.security.rsa.SunRsaSign
    security.provider.3=com.sun.net.ssl.internal.ssl.Provider
    security.provider.4=com.sun.crypto.provider.SunJCE
    security.provider.5=sun.security.jgss.SunProvider
    security.provider.6=com.sun.security.sasl.Provider
    security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
    security.provider.8=sun.security.smartcardio.SunPCSC
    
    Sólo tendremos que añadir una línea más, añadiendo nuestro nuevo proveedor de seguridad, quedando de la siguiente forma:
    security.provider.1=sun.security.provider.Sun
    security.provider.2=sun.security.rsa.SunRsaSign
    security.provider.3=com.sun.net.ssl.internal.ssl.Provider
    security.provider.4=com.sun.crypto.provider.SunJCE
    security.provider.5=sun.security.jgss.SunProvider
    security.provider.6=com.sun.security.sasl.Provider
    security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
    security.provider.8=sun.security.smartcardio.SunPCSC
    security.provider.9=org.bouncycastle.jce.provider.BouncyCastleProvider
    
    Nota: Como puedes observar, nosotros hemos añadido nuestro nuevo proveedor en la posición 9, pero esto puede variar de un sistema a otro. Hay que añadirlo el último.
Y eso sería todo! La verdad es que no me gusta mucho esta forma de instalar Bouncy Castle, porque me parece excesivo tener que copiar ficheros a nuestro JRE y tocar archivos de configuración del mismo. Creo que es pedirle demasiado a la persona que quiera probar nuestra aplicación. Pero por otro lado, reconozco que esta forma es la que menos problemas da, y en instalaciones de producción esta podría ser una buena solución. Hay que tener en cuenta que de esta forma estamos instalando el proveedor de seguridad a nivel de la máquina virtual, es decir, cualquier aplicación Java que ejecutemos en nuestro sistema tendrá acceso a la librería Bouncy Castle (en tiempo de ejecución).

De forma dinámica

Consiste en poner al principio de nuestro código una instrucción del tipo:
import org.bouncycastle.jce.provider.BouncyCastleProvider;
...
Security.addProvider(new BouncyCastleProvider());
Esta forma, cuando nuestra aplicación es una aplicación de escritorio (una aplicación JavaSE), es la más sencilla de todas, ya que sólo tendremos que asegurarnos que la librería de Bouncy Castle (fichero .jar) esté en nuestro CLASSPATH, es decir, no sería necesario instalar la librería en nuestro JRE. Como se puede observar, de esta forma estaremos inicializando la librería a nivel de aplicación, es decir, cada una de las aplicaciones tendría que inicializar la librería de la forma antes descrita, de forma independiente.

¿Pero que pasa si nuestra aplicación es una aplicación Web y tiene que funcionar en un servidor de aplicaciones como JBoss? En este caso la instrucción anterior afectará también al resto de aplicaciones instaladas en el servidor (ya que supongo que todas comparten el mismo ClassLoader), es decir, si una aplicación inicializa la librería, el resto de aplicaciones en el servidor también verán el proveedor Bouncy Castle como un proveedor disponible. Pero el problema no es ese, el problema es que si una aplicación intenta utilizar la librería Bouncy Castle, habiendo ésta sido inicializada en otra aplicación Web distinta, obtendremos el temido mensaje de: "JCE cannot authenticate the provider BC".

¿Como solucionamos esto? La solución consiste en no añadir la librería (fichero .jar) en el interior de nuestras aplicaciones Web (ficheros .war), sino de instalarla de forma global, en la propia instancia de JBoss. Para ellos sólo tendremos que seguir los siguientes pasos:

  1. Instalar la librería de Bouncy Castle (en nuestro caso el fichero 'bcprov-jdk16-144.jar') en el directorio:
    JBOSS_HOME/server/INSTANCIA/lib
    Donde JBOSS_HOME es el directorio donde tenemos instalado JBoss, e INSTANCIA es la instancia del servidor JBoss que estamos usando, normalmente 'default'.
  2. En el código de nuestra aplicación Web, antes de utilizar cualquier función de la librería, escribir el siguiente código:
    // Inicializa el Proveedor de Seguridad BouncyCastle
    if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME)==null)
    {
      BouncyCastleProvider BC_provider = new BouncyCastleProvider();
      Security.addProvider(BC_provider);
      System.out.println("Cargado " + BC_provider.getInfo());
    }
Y eso es todo! Observa que aquí la librería se ha instalado a nivel del servidor de aplicaciones (JBoss) y todas las aplicaciones Web que corran sobre él no tendrán problemas para acceder al proveedor de seguridad.

Nota para usuarios de Eclipse: Como he comentado antes, la librería (fichero .jar) de Bouncy Castle no puede quedar en el archivo .WAR. Por lo tanto, no debéis copiar la librería en el directorio WebContent/WEB-INF/lib del proyecto. Sin embargo, sí debéis poner la librería en el CLASSPATH del proyecto, para la aplicación compile correctamente.

3 comments:

Alejandro Ayuso said...

La has bordado, justo hemos estado discutiendo sobre esto hoy.

Iván said...

Hola Ernesto, estoy desarrollando un programa usando BouncyCastle y me da una excepción cuando intento añadirlo de forma dinámica (Security.addProvider(new BouncyCastleProvider());).

Me da la siguiente excepción: Error al a�adir el proveedor BouncyCastle: java.security.AccessControlException: access denied (java.security.SecurityPermission putProviderProperty.BC)

Tengo añadido el jar a las librerías del proyecto y creo que lo demás lo hago bien. ¿Sabes por qué puede ser?

Muchas gracias y 1 saludo.

Leo said...

Gracias Ernesto, me soluciono el problema que tenia con Jboss 5.0
Saludos Leonardo.