<div dir="ltr">I went back and looked at your logs earlier and yes, you can use standard java to connect to ldap over ssl because that is not the issue and it is not using your midpoint encryption keys to encrypt data. Within your error logs it is trying to encrypt the ldap connection password but cannot because of the illegal key size. So I am pretty sure you just need to install the JCE files. I found a page on the wiki for you, and yes, the max is 128 without JCE and from your error logs it is showing AES-192<div><br></div><div><a href="https://wiki.evolveum.com/display/midPoint/Installing+midPoint+from+Binary+Distribution+v3.5.1#InstallingmidPointfromBinaryDistributionv3.5.1-JavaCryptographyExtension(JCE)UnlimitedStrengthJurisdictionPolicyFiles8">https://wiki.evolveum.com/display/midPoint/Installing+midPoint+from+Binary+Distribution+v3.5.1#InstallingmidPointfromBinaryDistributionv3.5.1-JavaCryptographyExtension(JCE)UnlimitedStrengthJurisdictionPolicyFiles8</a><br></div><div><br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">JASON</div></div></div>

<br><div class="gmail_quote">On Wed, Apr 26, 2017 at 6:52 AM, Jason Everling <span dir="ltr"><<a href="mailto:jeverling@bshp.edu" target="_blank">jeverling@bshp.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<p dir="auto" style="text-align:left;margin-top:25px;margin-bottom:25px;font-family:sans-serif;font-size:11pt;color:black;background-color:white">

Your key is 192 and without jce the max is 128, go to <a href="http://www.oracle.com/technetwork/java/javase/downloads/index.html" target="_blank">http://www.oracle.com/<wbr>technetwork/java/javase/<wbr>downloads/index.html</a> and scroll down to additional resources and find the unlimited strength file and download it. There is a readme file in it, you just basically

 copy the files into your java jdk location</p>

<hr style="display:inline-block;width:98%">

<div id="m_5521864942226499837divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> midPoint <<a href="mailto:midpoint-bounces@lists.evolveum.com" target="_blank">midpoint-bounces@lists.<wbr>evolveum.com</a>> on behalf of Dilek Gider <<a href="mailto:dilek.gider@basistek.com" target="_blank">dilek.gider@basistek.com</a>><br>

<b>Sent:</b> Wednesday, April 26, 2017 1:43:58 AM<br>

<b>To:</b> midPoint General Discussion<div><div class="h5"><br>

<b>Subject:</b> Re: [midPoint] Fwd: AD configuration with LDAP Connector, ssl issue</div></div></font>

<div> </div>

</div><div><div class="h5">

<div>

<div dir="ltr">Hi Jason ,

<div><br>

</div>

<div>No I didnt install it and I dont know anything about this policy file. <br>

<div>I am able to connect via SSL from the same server with simple Java Code, is this possible if there must be installed policy file?<br>

</div>

<div><br>

</div>

<div>Should I install it?  I am researching that policy file.<br>

<div class="gmail_extra"><br>

<div class="gmail_quote">On Tue, Apr 25, 2017 at 5:31 PM, Jason Everling <span dir="ltr">

<<a href="mailto:jeverling@bshp.edu" target="_blank">jeverling@bshp.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">I didnt even think about this, did you install the Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 8 ? That could be the casue of your first error,  default key size. Original error: Illegal key size</div>

<div class="gmail_extra"><br clear="all">

<div>

<div class="m_5521864942226499837m_-5007535706756974029gmail_signature">

<div dir="ltr">JASON</div>

</div>

</div>

<br>

<div class="gmail_quote">On Tue, Apr 25, 2017 at 9:19 AM, Jason Everling <span dir="ltr">

<<a href="mailto:jeverling@bshp.edu" target="_blank">jeverling@bshp.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">is this as actual domain controller? Are you sure that that isn't just the domain?

<div><gen493:host>tirsantest.local<<wbr>/gen493:host><br>

</div>

<div><br>

</div>

<div>it should contain an actual dc host like</div>

<div><gen493:host>dc1.tirsantest.lo<wbr>cal</gen493:host><span class="m_5521864942226499837m_-5007535706756974029HOEnZb"><font color="#888888"><br>

</font></span></div>

<span class="m_5521864942226499837m_-5007535706756974029HOEnZb"><font color="#888888">

<div><br>

</div>

<div><br>

</div>

</font></span></div>

<div class="gmail_extra"><span class="m_5521864942226499837m_-5007535706756974029HOEnZb"><font color="#888888"><br clear="all">

<div>

<div class="m_5521864942226499837m_-5007535706756974029m_-3934733689433062825gmail_signature">

<div dir="ltr">JASON</div>

</div>

</div>

</font></span>

<div>

<div class="m_5521864942226499837m_-5007535706756974029h5"><br>

<div class="gmail_quote">On Tue, Apr 25, 2017 at 2:14 AM, Dilek Gider <span dir="ltr">

<<a href="mailto:dilek.gider@basistek.com" target="_blank">dilek.gider@basistek.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">

<div>Hi Brad,</div>

<div><br>

</div>

I didn't get certificate, our customer gave to me .cer file that contains certificate, AD belongs to customer.

<div>But with that certificate, I can connect to AD 636 port with java code.</div>

<div><br>

</div>

<div>I imported that certificate to midpoint keystore, and also java sdk keystore.</div>

<div>I added java options to tomcat to trust to midpoint keystrore. (<span style="color:rgb(0,0,0);font-family:consolas,"bitstream vera sans mono","courier new",courier,monospace;font-size:14px;white-space:nowrap">-Djavax.net.ssl.trustStore=..<wbr>...</span>)</div>

</div>

<div class="m_5521864942226499837m_-5007535706756974029m_-3934733689433062825HOEnZb">

<div class="m_5521864942226499837m_-5007535706756974029m_-3934733689433062825h5">

<div class="gmail_extra"><br>

<div class="gmail_quote">On Tue, Apr 25, 2017 at 8:38 AM, Brad Fardig <span dir="ltr">

<<a href="mailto:brad.fardig@cogitogroup.com.au" target="_blank">brad.fardig@cogitogroup.com.a<wbr>u</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div lang="EN-AU" style="margin-bottom:33.75pt">

<div class="m_5521864942226499837m_-5007535706756974029m_-3934733689433062825m_-3084620913619065410m_2421554719741500668WordSection1">

<p class="MsoNormal"><a name="m_5521864942226499837_m_-5007535706756974029_m_-3934733689433062825_m_-3084620913619065410_m_2421554719741500668__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Hi,<u></u><u></u></span></a></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Just checking, did you add the domain controllers certificate to the key store?<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span></span><a href="https://wiki.evolveum.com/pages/viewpage.action?pageId=15859743" target="_blank"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">https://wiki.evolveum.com/page<wbr>s/viewpage.action?pageId=15859<wbr>743</span></span><span></span></a><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Regards,<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Brad<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<p class="MsoNormal"><span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></span></p>

<span></span>

<div>

<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> midPoint [mailto:<a href="mailto:midpoint-bounces@lists.evolveum.com" target="_blank">midpoint-bounces@lists<wbr>.evolveum.com</a>]

<b>On Behalf Of </b><a href="mailto:dilek.gider@basistek.com" target="_blank">dilek.gider@basistek.com</a><br>

<b>Sent:</b> Tuesday, 25 April 2017 3:03 PM<br>

<b>To:</b> Jason Everling <<a href="mailto:jeverling@bshp.edu" target="_blank">jeverling@bshp.edu</a>>; midPoint General Discussion <<a href="mailto:midpoint@lists.evolveum.com" target="_blank">midpoint@lists.evolveum.com</a>><br>

<b>Subject:</b> Re: [midPoint] Fwd: AD configuration with LDAP Connector, ssl issue<u></u><u></u></span></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Thank you for your reply, i created keystore manually with wiki evolveum Keysotore Configuration document. I dont know how if midpoint creates keystore by itself, automatically.<u></u><u></u></span></p>

</div>

</div>

<div>

<div id="m_5521864942226499837m_-5007535706756974029m_-3934733689433062825m_-3084620913619065410m_2421554719741500668LGEmailHeader">

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">------ Original message------<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt">From: </span></b><span style="font-size:10.0pt">Jason Everling<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt">Date: </span></b><span style="font-size:10.0pt">Mon, Apr 24, 2017 18:41<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt">To: </span></b><span style="font-size:10.0pt">midPoint General Discussion;<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt">Cc: </span></b><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-size:10.0pt">Subject:</span></b><span style="font-size:10.0pt">Re: [midPoi nt] Fwd: AD configuration with LDAP Connector, ssl issue<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">From what I can see, it is showing 'unsupported ciphersuite' along with other ssl/tls startup errors. Did you let midpoint create the keystore when it first started up or did you manually create it? The midpoint

 team should be able to help further but I have never encountered that error before with midpoint. Only ssl chain errors which is easily fixed and I dont see that in your logs.

<u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><br clear="all">

<u></u><u></u></span></p>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">JASON<u></u><u></u></span></p>

</div>

</div>

</div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">On Mon, Apr 24, 2017 at 7:26 AM, Dilek Gider <<a href="mailto:dilek.gider@basistek.com" target="_blank">dilek.gider@basistek.com</a>> wrote:<u></u><u></u></span></p>

<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Hi Again, <u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Is there anybody to help me please.. Details are below.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:10.0pt">---------- Forwarded message ----------<br>

From: <b>Dilek Gider</b> <<a href="mailto:dilek.gider@basistek.com" target="_blank">dilek.gider@basistek.com</a>><br>

Date: Thu, Apr 20, 2017 at 4:20 PM<br>

Subject: AD configuration with LDAP Connector, ssl issue<br>

To: midPoint General Discussion <<a href="mailto:midpoint@lists.evolveum.com" target="_blank">midpoint@lists.evolveum.com</a>><br>

<br>

<u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Hi , <u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">I have resource to AD from midpoint, with LDAP Connector. You can find resource.xml as attchment. I couldn't connect this resource with LDAP via SSL. I followed <u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><a href="https://wiki.evolveum.com/displ%20ay/midPoint/Keystore+Configuration" target="_blank">https://wiki.evolveum.com/disp<wbr>lay/midPoint/Keystore+Configur<wbr>ation</a> <u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">link, added Tomcat java options but it doens't work. Also I added logs about this resource, error logs. <u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">I wrote java jar to connect AD via ssl and execute it from the same location with my java connector, it succeeded. But  in midpoint it could not communicate with AD via SSL. Without SSL, it is communicating

 with AD from LDAPConnector.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">I have java 8_101, tomcat 8.5.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">I have certificate as "cer" file, I imported to both java cacerts and midpoint keystore. and it is listed with my alias: <u></u><u></u></span></p>

</div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Keystore type: JCEKS</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Keystore provider: SunJCE</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt"><br>

<br>

</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Your keystore contains 3 entries</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">nlight, Mar 21, 2017, trustedCertEntry,</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Certificate fingerprint (SHA1): XXXXXXXXX</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">default, Nov 30, 2016, SecretKeyEntry,</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">tirsantest.local, Apr 19, 2017, trustedCertEntry,</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Certificate fingerprint (SHA1): XXXXXXXXXXXX</span><span style="font-size:10.0pt"><u></u><u></u></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt">Could you help me? I am working on this problem for two weeks. <u></u><u></u></span></p>

</div>

</div>

</div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:10.0pt"><br>

______________________________<wbr>_________________<br>

midPoint mailing list<br>

<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>

<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" target="_blank">http://lists.evolveum.com/mail<wbr>man/ listinfo/midpoint</a><u></u><u></u></span></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><span style="font-size:10.0pt"><u></u> <u></u></span></p>

</div>

</div>

</div>

<p class="MsoNormal"><br>

<br>

<i>This email, and any attachment, is confidential and also privileged. If you have received it in error, please notify me immediately and delete it from your system along with any attachments. You should not copy or use it for any purpose, nor disclose its

 contents to any other person. </i><u></u><u></u></p>

</div>

</div>

<br>

______________________________<wbr>_________________<br>

midPoint mailing list<br>

<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>

<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mail<wbr>man/listinfo/midpoint</a><br>

<br>

</blockquote>

</div>

<br>

</div>

</div>

</div>

<br>

______________________________<wbr>_________________<br>

midPoint mailing list<br>

<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>

<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mail<wbr>man/listinfo/midpoint</a><br>

<br>

</blockquote>

</div>

<br>

</div>

</div>

</div>

</blockquote>

</div>

<br>

</div>

<br>

______________________________<wbr>_________________<br>

midPoint mailing list<br>

<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>

<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mail<wbr>man/listinfo/midpoint</a><br>

<br>

</blockquote>

</div>

<br>

</div>

</div>

</div>

</div>

</div>

</div></div></div>

</blockquote></div><br></div>