Особенности подготовки к сертификационным экзаменам по Java SE

Distinquished name

Сертификат создается в формате X.509. В этом формате в качестве идентификатора владельца используется
Distinquished Name или просто DN в формате X.500. Этот же формат идентификации объектов используется в
LDAP-протоколе или в SNMP. Distinquished Name задается в виде разделенных через запятую атрибутов :

Часть из атрибутов могут быть пропущены; в этом случае им будет присвоено значение Unknown.

Одним из важных атрибутов сертификата являются альтернативные имена SAN (SubjectAlternativeName).
Подробности и пример внесения SAN в самоподписанный сертификат представлены на странице настройки
конфигурации сервера Tomcat.

Параметры сертификата можно указывать в качестве опции команды. Так, в следующем варианте примера задаётся
информация о компании, наименование алиаса, тип и размещение хранилища, срок действия, алгоритм для генерации
ключей, размер ключа, пароли на хранилище и на ключ.

Новое хранилище было размещено в той же директории, где и располагается keytool.

Getcertificates()

Получив экземпляр CertPath, вы можете получить экземпляры Certificate, из которых состоит CertPath, вызвав метод getCertificates(). Вот пример получения сертификатов из экземпляра CertPath:

List<Certificate> certificates = certPath.getCertificates();

Getencoded()

Метод getEncoded() сертификата возвращает закодированную версию сертификата в виде байтового массива. Например, если сертификат является сертификатом X509, возвращенный байтовый массив будет содержать версию экземпляра сертификата в кодировке X.590 (ASN.1 DER). Вот пример использования методаgetEncoded():

byte[] encodedCertificate = certificate.getEncoded();

Getpublickey()

Метод сертификата getPublicKey() возвращает открытый ключ этого экземпляра сертификата. Вот пример метода getPublicKey():

PublicKey certificatePublicKey = certificate.getPublicKey();

Gettype()

Метод getType() возвращает строку, указывающую, какой тип сертификатов (например, X.509) содержится в этом экземпляре CertPath. Вот пример получения типа CertPath через методом getType():

String type = certPath.getType();

Java certificatefactory (фабрика сертификатов

Класс CertificateFactory (java.security.cert.CertificateFactory) способен создавать экземпляры сертификата (Certificate) из двоичных данных сертификатов с кодировками X.509 (ASN.1 DER). CertificateFactory также может создавать экземпляры CertPath. CertPath — это цепочка сертификатов, где каждый сертификат подписан следующим сертификатом в данной цепочке.

Keystore & truststore

Говоря о JKS, стоит отметить, что данные файлы могут использоваться как KeyStore так и TrustStore. Это два различных типа хранилищ, которые находятся в JKS файлах. Одно из них (KeyStore) содержит более чувствительную информацию типа приватного ключа, и поэтому требует пароля для доступа к этой информации.

Но так же эти сертификаты идут в поставке Java в файле cacerts, который по умолчанию расположен в директории java.homelibsecurity и имеет пароль по умолчанию changeit.

Данная информация может быть полезна в тех случаях, когда установка JDK/JRE осуществляется в компании централизовано из одного источника, и имеется возможность добавления туда своих доверенных сертификатов компании для prod/uat окружения.

Ниже приведена таблица с некоторыми различиями KeyStore & TrustStore.

Verify()

Класс сертификата содержит три метода verify(). Эти методы могут использоваться для проверки того, что сертификат действительно подписан с закрытым ключом, соответствующим ожидаемому открытому ключу. Вот пример проверки сертификата:

// получение ожидаемого открытого ключа (не из сертификата!)
PublicKey expectedPublicKey = ... ;

try{
    certificate.verify(expectedPublicKey);

} catch (InvalidKeyException e) {
    // сертификат не был подписан данным открытым ключом

} catch (NoSuchAlgorithmException |
         NoSuchProviderException |
         SignatureException |
         CertificateException e){
    // что-то еще пошло не так
}

Метод verify() не возвращает значения. Если проверка не пройдена, будет выдано исключение InvalidKeyException. Если не сгенерировано исключение, экземпляр сертификата можно считать проверенным.

Зачем вообще нужен сертификат?

Вопрос холиварный, как и вопрос, нужно ли программисту специальное высшее образование. С одной стороны, сертификат не дает никаких преимуществ. С другой стороны, его наличие может зацепить глаз HR, особенно в ситуации с разработчиками, которые пришли из другого языка или переквалифицируются из тестировщиков. Кроме того, наличие сертификата покажет, что вы умеете ставить цели и достигать их.

Моими стимулами были:

• желание расширить и консолидировать свои знания и понимание Java, включая те части API, которые редко используются в текущих задачах;
• изучить новшества долгожданных Java 9…11, чтобы быть готовым к будущему, которое обязательно наступит (смахнул скупую мужскую слезу, ковыряя проект на EJB3.0).

Можно, конечно, добиться этих целей и без сертификации, но тем, кто знаком со SMART и с принципом кнута (потеря денег за попытку сертификации) и пряника (документ и значок в коллекцию), нетрудно понять, что так обучение проходит гораздо эффективнее.

Получать сертификат или нет — личное дело каждого. В этой статье я лишь постарался дать свои рекомендации по подготовке к экзамену.

Импорт сертификата

Чтобы импортировать сертификат в хранилище, нужно его сначала получить каким-либо образом.
Не будем мудрить и извлечем сертификат с псевдонимом veriSignclass1g3ca из хранилища доверенных
сертификатов jrelibsecuritycacerts (пароль хранилища changeit). То есть выполним команду
экспорта сертификата с указанием соответствующего хранилища :

Импорт сертификата в хранилище

Чтобы импортировать сертификат в хранилище keystore.jks необходимо использовать команду
“importcert”. Если в качестве опции указать “-trustcacerts”, то сертификат импортируется в хранилище
доверенных сертификатов, т.е. в jrelibsecuritycacerts. При выполнении команды импорта утилита
keytool попросит ввести пароль хранилища :

C:Program FilesJavajdk1.8.0_121bin> 
  keytool -importcert -keystore keystore.jks 
  -file veriSignclass1g3ca.cer

Enter keystore password: 
  Owner: 
   CN=VeriSign Class 1 Public Primary Certification Authority - G3, 
   OU="(c) 1999 VeriSign, Inc. - For authorized use only", 
   OU=VeriSign Trust Network, 
   O="VeriSign, Inc.", 
  C=USIssuer: 
   CN=VeriSign Class 1 Public Primary Certification Authority - G3, 
   OU="(c) 1999 VeriSign, Inc. - For authorized use only", 
   OU=VeriSign Trust Network, 
   O="VeriSign, Inc.", 
   C=US 
   Serial number: 8b5b75568454850b00cfaf3848ceb1a4 
Valid from: 
   Fri Oct 01 04:00:00 MSD 1999 until: Thu Jul 17 02:59:59 MSK 2036 
Certificate fingerprints: 
   MD5:  B1:47:BC:18:57:D1:18:A0:78:2D:EC:71:E8:2A:95:73 
   SHA1: 20:42:85:DC:F7:EB:76:41:95:57:8E:13:6B:D4:B7:D1:E9:8E:46:A5 
   SHA256: CB:B5:AF:18:5E:94:2A:24:02:F9:EA:CB:C0:ED:5B:B8:76:EE:A3: 
           C1:22:36:23:D0:04:47:E4:F3:BA:55:4B:65
   Signature algorithm name: SHA1withRSA Version: 1 
Trust this certificate? [no]:  y
Certificate was added to keystore
 

Много об oracle certified professional: java 11 programmer i (1z0-815)

В этой статье речь пойдет о первом из необходимых экзаменов, Oracle Certified Professional: Java 11 Programmer I (1Z0-815). Подготовка заняла у меня около двух месяцев (по два-три часа в день). На тот момент в интернете было не так много информации о самом экзамене, а обучающей литературы нет и поныне. Поэтому я надеюсь, что мои мысли прольют свет на его самые важные особенности и помогут читателям с легкостью сдать его.

Экзамен сдается на английском, так что ваш уровень языка должен быть достаточным для понимания технической литературы (к слову, вся подготовительная литература написана на нем).

По сути, сам экзамен проверяет знание основ Java без глубокого погружения в отдельные API (IO, NIO 2.0, Concurrency, Stream и т. д.). В основном вам придется работать либо компилятором (указать, скомпилируется ли код), либо JRE (указать на результат выполнения кода или на то, какой Exception будет выброшен).

Но при этом даже опытным программистам не стоит расслабляться и игнорировать подготовку, потому что составители тестов будут пытаться поймать вас на банальной невнимательности, а это не так уж и трудно, учитывая, что в написании компилируемого кода нам помогает IDE.

Пример. Какой тип данных (x y)?

double x = 39.21;
float y = 2.1;

Правильный ответ: строчка float y = 2.1 не компилируется, так как нет символа f после 2.1.

Или же вас попросят рассказать о результате выполнения кода, присланного одним из ваших восточных коллег:

public class Test {
   public void print(Integer x) {
       System.out.print("Integer");
   }
   public void print(float x) {
       System.out.print("float");
   }
   public void print(Object x) {
       System.out.print("Object");
   }
   public static void main(String[] args) {
       Test t = new Test();
       short s = 123;
       t.print(s);
       t.print(true);
       t.print(6.789);
   }
}

Думаю, многих удивит результат в виде floatObjectObject.

И подобных вопросов в тесте хватает. Так что рекомендую как минимум сдать mock-тесты и подтянуть те темы, в которых вы могли бы совершить ошибку.

Несмотря на то что для подготовки к экзамену я использовал книгу OCA: Oracle Certified Associate Java SE 8 Programmer I Study Guide: Exam 1Z0-808 авторства Jeanne Boyarsky и Scott Selikoff, я не согласен с мнением авторов, утверждающих, что новый экзамен намного сложнее предыдущего ОСА 8 (1Z0-808).

Так, например, я обнаружил всего несколько отличительных особенностей, которых не было в старом экзамене и книге OCA: Oracle Certified Associate Java SE 8 Programmer I Study Guide: Exam 1Z0-808. Большинство из них — это фичи Java 9…11. Ниже я описал основные отличия новой версии экзамена от старой.

Немного из истории сертификации

Если бы вы сертифицировались по Java 8 и более ранним версиям, то могли сдавать два типа экзамена, каждый из которых давал соответствующий титул: Associate либо Professional. Теперь же появилось одно значительное изменение: титула Oracle Certified Associate (OCA) не существует, и сдача первого экзамена не даст вам ни сертификата, ни титула.

То есть чтобы получить сертификат Oracle Certified Professional 11 (OCP 11), вы должны сдать оба экзамена: и Java 11 Programmer I (1Z0-815), и Java 11 Programmer II (1Z0-816). Они основаны на старых OCA 8 (1Z0-808) и OCP 8 (1Z0-809) соответственно.

Немного о литературе для подготовки

Для общей подготовки я бы рекомендовала книгу OCA: Oracle Certified Associate Java SE 8 Programmer I Study Guide: Exam 1Z0-808 авторства Jeanne Boyarsky и Scott Selikoff либо OCA Java SE 8 Programmer I Exam Guide (Exams 1Z0-808) авторства Bert Bates и Kathy Sierra. Рекомендую обязательно практиковаться в mock-тестах, приведенных в книгах.

Для изучения модульности — Java 9 Modularity Book.

Достаточно ознакомиться с соответствующими разделами в документации Oracle JDK 11 Documentation, чтобы узнать все, что необходимо, о var, List.of, интерфейсе Provider, StringBuilder.replace, String.intern и новых методах класса Arrays.

О процедуре заказа и прохождения экзамена

Регистрируемся на Pearson VUE и Oracle CertView, связываем аккаунты, заказываем, оплачиваем и идем сдавать. Сертификационных центров в Одессе нет, но в Киеве их хватает. К тому же график их работы довольно гибкий, так что есть повод навестить столичных друзей/родственников 😉

Касательно процедуры сдачи экзамена. Если вы сдавали экзамен на права, то это что-то похожее, но только дольше. Прийти в центр надо за 15–20 минут до указанного времени. Все личные вещи нужно сдать в ячейку. Перед началом самого экзамена вас фотографируют, просят подписать несколько бумаг и проверяют ваши документы (в моем случае это внутренний и загранпаспорт).

На экзамене вам выдают маркер и две ламинированные бумажки, на которых вы можете делать пометки. В процессе прохождения тестов можно помечать вопросы, чтобы вернуться к ним потом. Если вы выходите в уборную, то это происходит за счет времени экзамена (!).

Во время моей сдачи случилась примечательная ситуация: ближе к концу теста щелкнул свет, UPS не сработал, и компьютер ушел на перезагрузку, а мой мозг — в панический ступор 🙂

Но все данные уже были отправлены на сервер, и сессия сдачи экзамена продолжилась без учета времени, потраченного на перезагрузку ПК и вход в режим сдачи сессии.

Опции команды genkeypair

Создадим еще две пары ключей с псевдонимами “keypair1” и “keypair2”, чтобы при просмотре содержимого хранилища
(ниже) был небольшой список пар ключей :

Опции команды list

Если при просмотре хранилища использовать опцию “-v”, то информация о сертификате выводится с дополнительной
информацией, включающей владельца, порядковый номер и т.д. При использовании опции “-rfc” содержание сертификата
печатается согласно интернет-стандарта RFC-1421.

На странице описания SSL сертификата представлен результат
выполнения команды просмотра хранилища keytool -list для опций ‘-v’ и ‘-rfc’.

Полную англоязычную версию документации на keytool можно найти
здесь.

Особенности подготовки к сертификационным экзаменам по java se

Подключение ssl в grpc / rsocket

Если говорить о двунаправленном обмене бинарными данными, современных тенденциях к написанию реактивных приложений, стоит отметить gRPC и RSocket для создания подобных приложений. Но поскольку в основании этих протоколов можно использовать Netty как транспорт, логика конфигурирования останется. Поэтому я не буду уделять этому много внимания.

Подключение ssl в spring boot для restcontroller

Но в мире Java разработки Spring стал де факто стандартом для DI. А вместе с внедрением зависимости люди используют и другие технологии, которые удобно собрать в одном Spring Boot приложении, не расходуя множество времени на конфигурирование всего зоопарка технологий.

Конечно же, это приводит к избыточности зависимостей и к увеличению времени загрузки, но упрощает разработку. Куда проще написать аннотацию RestController, чем самому разбираться с тем, как корректно хендлить запросы через сервлеты. А для того, чтобы перенаправить всё взаимодействие через сервлеты в защищённый канал с использованием сертификатов, в Spring Boot есть два пути проcтой и более сложный для кастомных решений.В первом случае достаточно воспользоваться набором пропертей

server.ssl.key-store-type=JKS
server.ssl.key-store=classpath:cert.jks
server.ssl.key-store-password=changeit
server.ssl.key-alias=key
trust.store=classpath:cert.jks
trust.store.password=changeit

И все будет сделано за вас. Либо, если требуется более кастомная конфигурация, поднятие коннекторов на разных портах с нестандартными настройками и так далее, тогда путь лежит в сторону использования интерфейса WebServerFactoryCustomizer, имплементации которого существуют для всех основных контейнеров будь то Jetty, Tomcat или Undertow.

Поскольку это функциональный интерфейс, его довольно просто можно описать через lambda c параметром типа Connector. Для него мы можем выставить флаг setSecure(true), затем заполнить необходимые параметры для ProtocolHandler-а, выставив ему пути до jks c keystore и trustStore и соответствующие пароли к ним. Например, для tomcat код будет выглядеть подобным образом:

Подключение ssl к nettyserver

При создании нового проекта, подразумевающего взаимодействие клиента и сервера бинарными данными(protobuf) через защищенные вебсокеты (wss), возник вопрос подключения SSL в netty сервер. Как оказалось, это не представляет особых проблем, достаточно в билдере сетевого интерфейса добавить метод .withSslContext(), в который необходимо передать созданный контекст.

Получение экземпляра certpath

Обычно экземпляр CertPath получают из фабрики сертификатов (CertificateFactory или CertPathBuilder).

Получение экземпляра сертификата

Вы можете получить экземпляр сертификата следующими способами:

Посмотрите эти два руководства для получения дополнительной информации о получении экземпляра сертификата.

Пример просмотра хранилища и сертификата

На скриншоте представлен пример CertificateReader, позволяющий просматривать хранилище ключей и
сертификаты, а также извлекать информацию о сертификате.

Внутри сертификата хранится пара значений Distinqueshed Names. Один DN принадлежит владельцу
сертификата, а второй DN указывает идентификатор цента сертификации (CA), подписавшего сертификат. В
случае с самоподписанным (self-signed) сертификатом, оба эти DN указывают на владельца сертификата.

Просмотр хранилища

Для чтения содержимого хранилища необходимо использовать команду “-list”. В качестве опции “-keystore” можно
указать путь к хранилищу. По умолчанию команда “-list” отображает цифровой отпечаток SHA1 сертификата. Следующий
код позволяет просмотреть содержимое созданного хранилища, включающего сертификат и три пары ключей :

C:Program FilesJavajdk1.8.0_121bin> 
   keytool -list -keystore keystore.jks
Enter keystore password:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 5 entries

keypair2, 14.02.2021, PrivateKeyEntry,
Certificate fingerprint (SHA1): 
    C4:02:BA:D7:24:6B:84:2F:CD:F9:81:16:5F:74:E0:31:7B:C0:19:B1
keypair1, 14.02.2021, PrivateKeyEntry,
Certificate fingerprint (SHA1): 
    AB:BA:92:77:44:BD:B0:65:EB:29:0C:F9:86:64:0F:81:B7:4A:27:9A
keypair, 14.02.2021, PrivateKeyEntry,
Certificate fingerprint (SHA1): 
    8A:8B:21:83:1E:75:4F:C7:62:85:6A:31:84:45:AA:16:2B:20:06:1E
parent, 13.02.2021, PrivateKeyEntry,
Certificate fingerprint (SHA1): 
    DB:8B:9D:9D:DF:5B:B3:82:0E:19:C6:A4:A4:3E:08:C0:AB:20:F9:85
mykey, 18.02.2021, trustedCertEntry,
Certificate fingerprint (SHA1): 
    20:42:85:DC:F7:EB:76:41:95:57:8E:13:6B:D4:B7:D1:E9:8E:46:A5	
 

Создание пары ключей

Для создания пары ключей необходимо использовать команду “-genkeypair”. Следующая команда создаст пару
ключей “keypair” в хранилище keystore.jks, где размещен созданный ранее сертификат.

Сертификат и закрытый ключ сохранены в виде новой keystore записи, идентифицированной псевдонимом “keypair”.
Открытый ключ обертывается в формат X.509 — это самоподписанный сертификат, который сохранен как
одноэлементная цепочка сертификата.

Создание самоподписанного сертификата

Для создания самоподписанного сертификата также необходимо использовать команду -genkey с указанием срока
действия сертификата в опции -validity. Следующая команда создаст пару 2048-битных RSA-ключей, действительных
на протяжении 365 дней, с указанным псевдонимом (parent) в заданном файле/хранилище ключей (keystore.jks).

Если заданного хранилища ключей (keystore.jks) не существует, то keytool создаст его. При выполнении команды
keytool будет запрашивать некоторые необходимые данные : пароль хранилища, Distinguished Name и пароль
закрытого ключа. Многие параметры используются со значениями по умолчанию.

Создание экземпляра certificate

Создав экземпляр CertificateFactory, вы можете начать создавать экземпляры Certificate. Это делается с помощью вызова метода generateCertificate(). Пример вызова методаgenerateCertificate():

InputStream certificateInputStream = new FileInputStream("my-x509-certificate.crt");

Certificate certificate = certificateFactory.generateCertificate(certificateInputStream);

Создание экземпляра certificatefactory

Прежде чем вы сможете создавать экземпляры Certificate, вы должны создать экземпляр CertificateFactory. Пример:

CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

В этом примере создается экземпляр CertificateFactory, способный создавать экземпляры сертификата X.509 (X509Certificate — подкласс Certificate).

Создание экземпляра certpath

CertificateFactory также может создавать экземпляр CertPath. Экземпляр CertPath создается вызовом метода generateCertPath():

InputStream certificateInputStream = new FileInputStream("my-x509-certificate-chain.crt");

CertPath certPath = certificateFactory.generateCertPath(certificateInputStream);

Стать сертифицированным партнером oracle, программистом java se 8

Несколько лет назад Oracle обновила свои пути сертификации Java. В то время они ввели разные уровни сертификации. Следуя по пути Java-программиста, вы должны пройти сертификацию «Associate» раньше других (например, сертификации «Professional» или «Master»).

Для этого сертификата требуется один экзамен: Java SE 8 Programmer I 1Z0-808. Чтобы сдать этот экзамен, вы начинаете с покупки ваучера в Oracle University. После этой покупки вы теперь можете зарегистрироваться для сдачи экзамена в проктальном экзаменационном центре.

Экзамен содержит набор из 77 вопросов с несколькими вариантами ответов, которые способствуют вашему окончательному баллу. Возможно, что во время экзамена будет добавлено больше вопросов, однако они «не оценены». К сожалению, вам не сказали, какие вопросы оцениваются, а какие нет. Весь экзамен должен быть завершен в течение 150 минут.

Во время экзамена вы сможете записывать заметки по материалам, предоставленным центром. Абсолютно никакие другие записи не могут быть внесены в комнату для тестирования, и вам придется вернуть материал, который они предоставили после завершения экзамена.

В этот момент вам, скорее всего, не терпится узнать свои результаты, но центр тестирования не предоставит эту информацию. Вместо этого вам нужно подождать, пока ваш счет будет опубликован на веб-сайте Oracle CertView. Если вы сдали экзамен с баллом 65% и выше, вы сдали и получили статус Oracle Certified Associate, Java SE 8 Programmer.

Для получения полной информации и начать процесс регистрации, перейдите в Oracle University .

Просто убедитесь, что вы регистрируетесь на экзамен Java SE 8 Programmer I 1Z0-808, поскольку на этой странице также перечислены предыдущие экзамены для SE 5/6 и SE 7.

Тестирование tls/ssl

Для того чтобы провести тестирование реализованного безопасного подключения имеется возможность создать keystore программно, используя классы из пакета java.security.* Это даст возможность тестировать различное поведение системы в случае разных ситуаций типа истекших сертификатов, проверки корректной валидации доверенных сертификатов и так далее.

Чтобы грамотно проверить работоспобность придется пройти по всем составным частям jks и воссоздать программно внутри KeyStore пару ключей KeyPair, свой сертификат X509Certificate, цепочку родительских сертификатов, подпись и доверенные корневые сертификаты.

Для упрощения этой задачи можно воспользоваться библиотекой bouncyСastle, которая предоставляет ряд дополнительный возможностей в дополнение к стандартным классам в Java, посвященным криптографии из Java Cryptography Architecture (JCA) и Java Cryptography Extension (JCE).

Утилита keytool

Для управления парами ключей (private/public), сертификатами и хранилищем keystore Java включает утилиту
keytool, располагаемую в директории bin. Для запуска keytool можно использовать командную строку.
Опции утилиты позволяют выполнять различные операции и получать определенные сведения. Так, чтобы получить
информацию об утилите, можно просто выполнить команду keytool без опций :

Чтобы получить дополнительную справку о команде необходимо указать ее наименование и
волшебное слово help. Не забывайте о дефисе ‘-‘ перед опциями :

Щепотка вдохновения

Результаты экзамена придут в течение 15 минут на вашу почту. Так что долго мучиться в догадках не придется. В целом экзамен имеет достаточно низкий проходной бал, поэтому после соответствующей подготовки, выполнения определенного количества mock-тестов и учета вышеизложенных советов и рекомендаций вы без труда получите результат, который вас удовлетворит.

Удачи и спасибо за внимание!

Экспорт сертификата

Сертификат можно экспортировать из хранилища и предоставить его пользователям Вашей «подписанной» программы.
Тогда пользователи могут занести Ваш сертификат в свое хранилище доверенных сертификатов. Для экспорта сертификата
используется команда “exportcert”. Следующий пример извлекает из хранилища сертификат в файл “parent.cer” :