Nhận SSLHandshakeException: handshake_failure mặc dù khách hàng của tôi bỏ qua tất cả các chứng chỉ

Question

Tôi có một chương trình Java kết nối với máy chủ web bằng SSL/TLS và gửi các yêu cầu HTTP khác nhau qua kết nối đó. Máy chủ là localhost và đang sử dụng chứng chỉ tự ký, nhưng mã của tôi đang sử dụng TrustManagers tùy chỉnh và bỏ qua chứng chỉ không hợp lệ. Nó đã hoạt động hoàn hảo cho đến bây giờ.

Sự khác biệt duy nhất trên máy chủ là nó được sử dụng để chạy jboss 6 và hiện đang chạy jboss 7. Tôi không chắc đây có phải là vấn đề về cấu hình hay không, có vấn đề với mã của tôi hay không các lỗi tương tự nếu tôi cố kết nối bằng các chương trình dựa trên Java khác như WebScarab hoặc ZAP.

Trong mọi trường hợp, có bất kỳ điều gì tôi có thể thực hiện với mã của mình để khắc phục sự cố này không? Dưới đây là lỗi đầy đủ:

Received fatal alert: handshake_failure 
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 
     at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.recvAlert(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(Unknown Source) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(Unknown Source) 
     at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source) 
     at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source) 
     at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(Unknown Source) 

Dưới đây là các thông điệp debug trước sự thất bại:

main, WRITE: TLSv1 Handshake, length = 75 
main, WRITE: SSLv2 client hello message, length = 101 
main, READ: TLSv1 Alert, length = 2 
main, RECV TLSv1 ALERT: fatal, handshake_failure 

Answer 1

Vì vậy, tôi đã tìm thấy sự cố. Có thể có một lỗi trong Java, nhưng máy khách dường như bắt đầu một TLSv1 Handshake, nhưng sau đó gửi một thông điệp chào hỏi của máy khách SSLv2, tại thời điểm đó máy chủ từ chối kết nối.

Điều này xảy ra ngay cả khi bạn tạo SSLContext của bạn với một thể hiện của TLS:

SSLContext sslContext = SSLContext.getInstance("TLS"); 

Giải pháp là để thiết lập một hệ thống tài sản trước khi bất kỳ cố gắng kết nối được thực hiện:

System.setProperty("https.protocols", "TLSv1"); 

Có lẽ các giải pháp khác cho nó, nhưng điều này làm việc cho tôi.

Answer 2

Bạn đang nhìn thấy lỗi này có lẽ hầu hết vì keystore rằng JBoss của bạn 6 có quyền truy cập vào là không thể truy cập cho phiên bản JBoss 7 của bạn.

Tôi khuyên bạn nên làm như sau.

server certificate tự ký của bạn phải được nhập khẩu vào một truststore

keytool -import -alias gridserver -file server.crt -storepass $YOUR_PASSWORD_HERE -keystore server.keystore 

Thêm các thuộc tính sau để run.conf bạn

-Djavax.net.ssl.keyStoreType=pkcs12 
-Djavax.net.ssl.trustStoreType=jks 
-Djavax.net.ssl.keyStore=clientcertificate.p12 
-Djavax.net.ssl.trustStore=server.keystore 
-Djavax.net.debug=ssl # very verbose debug. Turn this off after everything looks good. 
-Djavax.net.ssl.keyStorePassword=$YOUR_PASSWORD_HERE 
-Djavax.net.ssl.trustStorePassword=$YOUR_PASSWORD_HERE 

Answer 3

Thông báo thông tin bạn cung cấp là rất ít cũng như của bạn ngăn xếp dấu vết.
Tôi sẽ đoán ở đây.
Điều tôi nghi ngờ là trong máy chủ mới giao thức là TLSv1 trong khi khách hàng của bạn cố gắng kết nối với SSLv3 (hoặc ít hơn) và kết quả là việc bắt tay không thành công.

Thay đổi khách hàng của bạn để sử dụng phiên bản TLS hoặc
làm cho máy chủ web của bạn hỗ trợ SSLv3. Tôi biết làm thế nào để làm điều này trong Tomcat nhưng không phải trong JBoss.

Nếu cách này không hoạt động, hãy cập nhật bài đăng với nhiều thông tin hơn (và dấu vết ngăn xếp đầy đủ).
Bạn nên bật thông tin gỡ lỗi ssl -Djavax.net.debug=ssl

Answer 4

Dấu vết ngăn xếp là từ mã máy khách và khách hàng của bạn 'Đã nhận được cảnh báo nghiêm trọng'. Nói cách khác, lỗi SSL xảy ra trong Jboss, không phải là khách hàng của bạn.

Máy chủ TrustManager tùy chỉnh phía khách hàng của bạn do đó không có gì để làm với nó. Dự đoán hoang dã của tôi là Jboss 7 mới của bạn được định cấu hình để yêu cầu chứng chỉ ứng dụng khách và khách hàng của bạn không có mặt.

Để gỡ lỗi kết nối SSL của bạn, sử dụng openssl và thử điều này:

openssl s_client -connect jboss.server.com:443

hoặc là nó là một máy chủ SSLv3

openssl s_client -connect jboss.server.com:443 -ssl3

này nên in rất nhiều thông tin thú vị.

Answer 5

Tôi nghĩ rằng điều này có liên quan đến một số Java 7 bug. Thật khó để chắc chắn nếu không có thêm chi tiết.

Answer 6

Điều này đã từng được giải quyết chưa?

Tôi đã có cùng một vấn đề chính xác, về cơ bản tôi đã nhận được một ngoại lệ bắt tay ngay sau clientHello. Vì vậy, Các chuỗi sự kiện là

1. tôi sẽ xuất trình giấy của tôi đến máy chủ
2. server imediately sẽ phản ứng với một thất bại bắt tay. (Tôi thậm chí sẽ không nhận được một máy chủ Xin chào lại).

Cuối cùng tôi thấy máy chủ yêu cầu thuật toán mã hóa/giải mã mạnh hơn so với những gì tôi đã cung cấp trong giai đoạn bắt tay ban đầu (Tức là Máy chủ và Máy chủ không thể đồng ý về thuật toán mã hóa lẫn nhau để sử dụng cho giao tiếp ssl).

Tôi cần cài đặt Java JCE không giới hạn (Chính sách mở rộng mã hóa Java). Có quy tắc xuất khẩu về việc sử dụng này, vì vậy nếu bạn gửi mã của bạn ở nước ngoài có thể có những tác động .. làm thế nào đây là những gì giải quyết vấn đề của tôi.

liên kết này giải thích làm thế nào để cài đặt các chính sách cập nhật http://suhothayan.blogspot.com/2012/05/how-to-install-java-cryptography.html

Đây cũng là một liên kết tuyệt vời mà đã giúp tôi hiểu chính xác những gì đang xảy ra https://support.f5.com/kb/en-us/solutions/public/15000/200/sol15292.html#id

này có thể hoặc không thể là vấn đề, nhưng khi bắt tay không thành công ngay sau client Xin chào, có vẻ như máy khách và máy chủ không thể đồng ý về điều gì đó (trong nhiều trường hợp các thuật toán mã hóa mà họ sẽ cần phải giao tiếp).

Answer 7

Đối với tôi Giải pháp là: System.setProperty("https.protocols", "TLSv1.1,TLSv1.2");