授权SSL连接有问题。我已经创建了Struts Action,它使用客户端授权的SSL证书连接到外部服务器。在我的操作中,我尝试将一些数据发送到银行服务器,但是没有任何运气,因为由于服务器的原因,我出现以下错误:
error: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
我的Action类中的My Method将数据发送到服务器
//Getting external IP from host
URL whatismyip = new URL("http://automation.whatismyip.com/n09230945.asp");
BufferedReader inIP = new BufferedReader(new InputStreamReader(whatismyip.openStream()));
String IPStr = inIP.readLine(); //IP as a String
Merchant merchant;
System.out.println("amount: " + amount + ", currency: " + currency + ", clientIp: " + IPStr + ", description: " + description);
try {
merchant = new Merchant(context.getRealPath("/") + "merchant.properties");
} catch (ConfigurationException e) {
Logger.getLogger(HomeAction.class.getName()).log(Level.INFO, "message", e);
System.err.println("error: " + e.getMessage());
return ERROR;
}
String result = merchant.sendTransData(amount, currency, IPStr, description);
System.out.println("result: " + result);
return SUCCESS;
我的merchant.properties文件:
bank.server.url=https://-servernameandport-/
https.cipher=-cipher-
keystore.file=-key-.jks
keystore.type=JKS
keystore.password=-password-
ecomm.server.version=2.0
encoding.source=UTF-8
encoding.native=UTF-8
我第一次以为这是证书问题,我将其从.pfx转换为.jks,但我遇到了相同的错误,没有任何更改。
握手失败可能是由于多种原因引起的:
更新资料
根据现在可用的详细信息,看来该问题是由于颁发给服务器的证书和根CA之间的证书信任路径不完整所致。在大多数情况下,这是因为信任存储中不存在根CA的证书,导致无法存在证书信任路径的情况。证书基本上不受客户端信任。浏览器可以发出警告,以便用户可以忽略此警告,但是SSL客户端(例如HttpsURLConnection
类或任何HTTP客户端库(例如Apache HttpComponents Client
))并非如此。
这些客户端类/库中的大多数都将依赖JVM使用的信任库来进行证书验证。在大多数情况下,这将是cacertsJRE_HOME / lib / security
目录中的文件。如果信任库的位置已使用JVM系统属性指定javax.net.ssl.trustStore
,则该路径中的库通常是客户机库使用的库。如果你有疑问,请查看你的Merchant班级,并弄清用于建立连接的班级/图书馆。
将服务器的证书颁发机构CA添加到此信任存储区应该可以解决此问题。你可以在有关为此目的获取工具的相关问题上参考我的回答,但是Java keytool
实用程序足以满足此目的。
警告:信任存储区实质上是你信任的所有CA的列表。如果你输入的证书不属于你不信任的CA,则如果私钥可用,则可以解密到具有由该实体发行的证书的站点的SSL / TLS连接。
更新#2:了解JSSE跟踪的输出
JVM所使用的密钥库和信任库通常在一开始就列出,如下所示:
keyStore is :
keyStore type is : jks
keyStore provider is :
init keystore
init keymanager of type SunX509
trustStore is: C:\Java\jdk1.6.0_21\jre\lib\security\cacerts
trustStore type is : jks
trustStore provider is :
如果使用了错误的信任库,那么你需要将服务器的证书重新导入到正确的证书中,或者将服务器重新配置为使用列出的证书(如果你有多个JVM,则不建议这样做,并且所有JVM都用于不同的JVM)需求)。
如果要验证信任证书列表中是否包含必需的证书,则有一个相同的部分,其开头为:
adding as trusted cert:
Subject: CN=blah, O=blah, C=blah
Issuer: CN=biggerblah, O=biggerblah, C=biggerblah
Algorithm: RSA; Serial number: yadda
Valid from SomeDate until SomeDate
你需要查找服务器的CA是否为主题。
握手过程中将有几个显着的条目(你需要了解SSL才能详细了解它们,但是出于调试当前问题的目的,知道在ServerHello中通常报告出一个handshake_failure就足够了。
初始化连接时,将报告一系列条目。客户端在SSL / TLS连接设置中发送的第一条消息是ClientHello消息,通常在日志中报告为:
*** ClientHello, TLSv1
RandomCookie: GMT: 1291302508 bytes = { some byte array }
Session ID: {}
Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_DES_CBC_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA, SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5, SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA]
Compression Methods: { 0 }
***
请注意使用的密码套件。这可能必须与商人.properties文件中的条目一致,因为银行的图书馆可能采用相同的约定。如果使用的约定不同,则无需担心,因为如果密码套件不兼容,ServerHello会声明。
服务器以ServerHello响应,这将指示连接设置是否可以继续。日志中的条目通常为以下类型:
*** ServerHello, TLSv1
RandomCookie: GMT: 1291302499 bytes = { some byte array}
Cipher Suite: SSL_RSA_WITH_RC4_128_SHA
Compression Method: 0
***
注意它选择的密码套件;这是服务器和客户端均可使用的最佳套件。如果出现错误,通常不指定密码套件。服务器的证书(以及可选的整个链)是由服务器发送的,可以在以下条目中找到:
*** Certificate chain
chain [0] = [
[
Version: V3
Subject: CN=server, O=server's org, L=server's location, ST =Server's state, C=Server's country
Signature Algorithm: SHA1withRSA, OID = some identifer
.... the rest of the certificate
***
如果证书验证成功,你将找到类似于以下内容的条目:
Found trusted certificate:
[
[
Version: V1
Subject: OU=Server's CA, O="Server's CA's company name", C=CA's country
Signature Algorithm: SHA1withRSA, OID = some identifier
上述步骤之一将不会成功,从而导致handshake_failure,因为握手通常在此阶段完成(不是真的,但是握手的后续阶段通常不会导致握手失败)。你需要找出失败的步骤,然后发布适当的消息作为问题的更新(除非你已经理解了该消息,并且知道该怎么做)。
分享改善这个答案
我是张贴这个问题后,尝试了许多选项,从两天。下面是我尝试的选项。 null
问题内容: 我们最近将一个项目从Java 6更新为Java 8,现在我们在SSL握手方面遇到了麻烦。 服务层使用客户端来请求和接收来自第三方应用程序的呼叫。在服务层中,密钥库用初始化 并通过applicationContext.xml注入: 如果发生错误,客户端应该信任所有证书: 我在升级过程中将上面的“ SSL”更改为“ TLSv1”,因为Java 8不支持SSL。这可能是个问题吗? 调试日志
现在,如果我拿着它在一个docker容器中运行它,该容器运行映像(我也是从Mac OS启动的映像),那么我最终会遇到以下异常: 显然,我的本地TLS默认设置和docker容器中的默认设置之间没有任何区别。这是使用运行时的调试输出: 本地输出: 编辑:在我的Mac OS上使用运行
我们确实发现了一篇文章指出了java 11中TLS1.3的一个问题(https://webtide.com/openjdk-11-and-tls-1-3-issues/),但是我们已经尝试了java 12版本,但没有成功,所以我认为这不是问题所在。 因此,我们现在必须决定是通过强制使用TLS1.2来回归,还是继续寻找另一种解决方案。
问题内容: 我正在尝试使用 liferay中的* javapns 库将推送通知发送到我的设备。这是代码: * 调用pushNotification时出现此错误: 我已经用谷歌搜索了,但是找不到任何解决方案。 有谁知道如何解决这个问题? 问题答案: 当您要连接的服务器没有来自授权CA的有效证书时,通常会引发该异常。 简而言之,您尝试连接的服务器很可能使用自签名证书,因此您必须在Java代码中容纳该证
我得到这个错误,而试图在linux上执行和旧的MapleStory服务器,我已经尝试了相同的文件在窗口和工作没有问题。我尝试了多个Java版本没有成功。