Saturday, 10 October 2009

Instalar Bouncy Castle en JBoss

Si alguna vez habéis intentado instalar en JBoss una o varias aplicaciones que hacen uso de la librería criptográfica Bouncy Castle, y sin explicación alguna habéis obtenido errores del tipo:

java.lang.SecurityException: JCE cannot authenticate the provider BC
o del tipo
java.security.NoSuchAlgorithmException: Error constructing implementation (algorithm: SHA1WithRSAEncryption, provider: BC, class: org.bouncycastle.jce.provider.JDKDigestSignature$SHA1WithRSAEncryption)
os contaré como he solucionado el problema.

En la documentación de Bouncy Castle nos comentan que hay varias formas de inicializar la librería.

De forma estática

Consiste en instalar la librería en nuestro JRE (Java Runtime Environment), y configurarlo como un proveedor de seguridad válido. Los pasos son los siguientes:

  1. Buscar el directorio de nuestro JRE
    Dependiendo de nuestro sistema operativo (Windows, Linux, o Mac OS), el directorio del JRE se encuentra en un sitio distinto. Llamaremos JRE_HOME a este directorio.

  2. Copiar la librería de Bouncy Castle en el siguiente directorio: JRE_HOME/lib/ext
    Yo he usado el fichero 'bcprov-jdk16-144.jar', que es la versión 1.44 de la librería, compilada para Java 6.

  3. Editar el archivo JRE_HOME/lib/security
    El contenido será algo como esto:
    security.provider.1=sun.security.provider.Sun
    security.provider.2=sun.security.rsa.SunRsaSign
    security.provider.3=com.sun.net.ssl.internal.ssl.Provider
    security.provider.4=com.sun.crypto.provider.SunJCE
    security.provider.5=sun.security.jgss.SunProvider
    security.provider.6=com.sun.security.sasl.Provider
    security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
    security.provider.8=sun.security.smartcardio.SunPCSC
    
    Sólo tendremos que añadir una línea más, añadiendo nuestro nuevo proveedor de seguridad, quedando de la siguiente forma:
    security.provider.1=sun.security.provider.Sun
    security.provider.2=sun.security.rsa.SunRsaSign
    security.provider.3=com.sun.net.ssl.internal.ssl.Provider
    security.provider.4=com.sun.crypto.provider.SunJCE
    security.provider.5=sun.security.jgss.SunProvider
    security.provider.6=com.sun.security.sasl.Provider
    security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
    security.provider.8=sun.security.smartcardio.SunPCSC
    security.provider.9=org.bouncycastle.jce.provider.BouncyCastleProvider
    
    Nota: Como puedes observar, nosotros hemos añadido nuestro nuevo proveedor en la posición 9, pero esto puede variar de un sistema a otro. Hay que añadirlo el último.
Y eso sería todo! La verdad es que no me gusta mucho esta forma de instalar Bouncy Castle, porque me parece excesivo tener que copiar ficheros a nuestro JRE y tocar archivos de configuración del mismo. Creo que es pedirle demasiado a la persona que quiera probar nuestra aplicación. Pero por otro lado, reconozco que esta forma es la que menos problemas da, y en instalaciones de producción esta podría ser una buena solución. Hay que tener en cuenta que de esta forma estamos instalando el proveedor de seguridad a nivel de la máquina virtual, es decir, cualquier aplicación Java que ejecutemos en nuestro sistema tendrá acceso a la librería Bouncy Castle (en tiempo de ejecución).

De forma dinámica

Consiste en poner al principio de nuestro código una instrucción del tipo:
import org.bouncycastle.jce.provider.BouncyCastleProvider;
...
Security.addProvider(new BouncyCastleProvider());
Esta forma, cuando nuestra aplicación es una aplicación de escritorio (una aplicación JavaSE), es la más sencilla de todas, ya que sólo tendremos que asegurarnos que la librería de Bouncy Castle (fichero .jar) esté en nuestro CLASSPATH, es decir, no sería necesario instalar la librería en nuestro JRE. Como se puede observar, de esta forma estaremos inicializando la librería a nivel de aplicación, es decir, cada una de las aplicaciones tendría que inicializar la librería de la forma antes descrita, de forma independiente.

¿Pero que pasa si nuestra aplicación es una aplicación Web y tiene que funcionar en un servidor de aplicaciones como JBoss? En este caso la instrucción anterior afectará también al resto de aplicaciones instaladas en el servidor (ya que supongo que todas comparten el mismo ClassLoader), es decir, si una aplicación inicializa la librería, el resto de aplicaciones en el servidor también verán el proveedor Bouncy Castle como un proveedor disponible. Pero el problema no es ese, el problema es que si una aplicación intenta utilizar la librería Bouncy Castle, habiendo ésta sido inicializada en otra aplicación Web distinta, obtendremos el temido mensaje de: "JCE cannot authenticate the provider BC".

¿Como solucionamos esto? La solución consiste en no añadir la librería (fichero .jar) en el interior de nuestras aplicaciones Web (ficheros .war), sino de instalarla de forma global, en la propia instancia de JBoss. Para ellos sólo tendremos que seguir los siguientes pasos:

  1. Instalar la librería de Bouncy Castle (en nuestro caso el fichero 'bcprov-jdk16-144.jar') en el directorio:
    JBOSS_HOME/server/INSTANCIA/lib
    Donde JBOSS_HOME es el directorio donde tenemos instalado JBoss, e INSTANCIA es la instancia del servidor JBoss que estamos usando, normalmente 'default'.
  2. En el código de nuestra aplicación Web, antes de utilizar cualquier función de la librería, escribir el siguiente código:
    // Inicializa el Proveedor de Seguridad BouncyCastle
    if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME)==null)
    {
      BouncyCastleProvider BC_provider = new BouncyCastleProvider();
      Security.addProvider(BC_provider);
      System.out.println("Cargado " + BC_provider.getInfo());
    }
Y eso es todo! Observa que aquí la librería se ha instalado a nivel del servidor de aplicaciones (JBoss) y todas las aplicaciones Web que corran sobre él no tendrán problemas para acceder al proveedor de seguridad.

Nota para usuarios de Eclipse: Como he comentado antes, la librería (fichero .jar) de Bouncy Castle no puede quedar en el archivo .WAR. Por lo tanto, no debéis copiar la librería en el directorio WebContent/WEB-INF/lib del proyecto. Sin embargo, sí debéis poner la librería en el CLASSPATH del proyecto, para la aplicación compile correctamente.

Saturday, 25 April 2009

Instalar Memcached en Mac OS X

Memcached es un sistema distribuido de memoria caché, genérico y de alto rendimiento, usado para aumentar la eficiencia de aplicaciones web dinámicas.

Lo que se pretende es reducir la carga que se realiza sobre la Base de Datos, sobretodo en sistemas distribuidos, donde los tiempos de propagación de la información pueden llegar a ser bastante altos.

En este artículo veremos cómo instalar el sistema en Mac OS X, que es prácticamente igual que el proceso de instalación en Linux.

Antes de empezar, decir que es necesario tener instalado las Xcode Tools de Apple, las cuales se encuentran en el DVD de instalación de Mac OS X, o que podemos descargar de Apple Developer Connection. El motivo es que necesitamos el compilador gcc y todas las librerías necesarias para compilarlo todo.

Instalar libevent

Memcached depende de la librería de notificación de eventos libevent, por lo que lo primero que tenemos que hacer es descargarnos e instalar la última versión estable de la misma:

La página oficial de libevent es: http://www.monkey.org/~provos/libevent/

En el momento de escribir este artículo, la última versión estable de libevent es la 1.4.10. Podemos descargar el código fuente desde la página web, o directamente con el comando:
curl -O http://www.monkey.org/~provos/libevent-1.4.10-stable.tar.gz
Una vez descargado el fichero, lo descomprimimos con el comando:
tar xfz libevent-1.4.10-stable.tar.gz
Tras esto, nos metemos en la carpeta que se ha creado (libevent-1.4.10-stable), y tecleamos los siguientes comandos para compilar e instalar la librería:
./configure --prefix=/usr/local
make
sudo make install
Para el último comando se nos pedirá la contraseña de administrador. Si no ha habido ningún problema, se habrá instalado la librería en el directorio /usr/local

Nota: Para desinstalar libevent sólo tendremos que introducir el comando:
sudo make uninstall

Instalar memcached


Después de instalar libevent, pasamos ya ha instalar memcached. La página oficial es:

http://www.danga.com/memcached/

En el momento de escribir este artículo, la última versión estable de memcached es la 1.2.8. Podemos descargarla desde la página web, o directamente con el comando:
curl -O http://www.danga.com/memcached/dist/memcached-1.2.8.tar.gz
Una vez descargado el fichero con el código fuente, lo descomprimimos con el comando:
tar xfz memcached-1.2.8.tar.gz
Tras esto, nos metemos en la carpeta que se ha creado (memcached-1.2.8), y tecleamos los siguientes comandos para compilar e instalar el sistema:
./configure --prefix=/usr/local
make
sudo make install
Para el último comando se nos pedirá la contraseña de administrador. Si no ha habido ningún problema, se habrá instalado el sistema en el directorio /usr/local

Nota: Para desinstalar memcached sólo tendremos que introducir el comando:
sudo make uninstall

Arrancar memcached


Si memcached se ha instalado correctamente podremos escribir lo siguiente para conocer las distintas opciones de las que dispone:
memcached -h
Para arrancar memcached tendríamos que introducir algo como:
memcached -d -m 2048 -l 10.0.0.40 -p 11211
Esto arrancaría memcached, haciendo uso de un máximo de 2GB de RAM, y escuchando en la IP 10.0.0.40, puerto 11211.