Java 8 SSL握手失败

时间:2017-10-19 05:45:18

标签: java tls1.2

我们正在为我们的数据库(12c)流量使用SSL。使用JDBC客户端(Java 1.8.0_65,ojdbc7)连接到数据库时,我们遇到握手失败。我们的数据库服务器正在使用SSL_RSA_WITH_AES_128_CBC_SHA256密码。 

java.sql.SQLRecoverableException: IO Error: Received fatal alert: handshake_failure
        at oracle.jdbc.driver.T4CConnection.logon(T4CConnection.java:752) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.jdbc.driver.PhysicalConnection.connect(PhysicalConnection.java:666) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.jdbc.driver.T4CDriverExtension.getConnection(T4CDriverExtension.java:32) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.jdbc.driver.OracleDriver.connect(OracleDriver.java:566) ~[ojdbc7.jar:12.1.0.2.0]
        at java.sql.DriverManager.getConnection(DriverManager.java:664) ~[?:1.8.0_65]
        at java.sql.DriverManager.getConnection(DriverManager.java:247) ~[?:1.8.0_65]
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) ~[?:1.8.0_65]
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:154) ~[?:1.8.0_65]
        at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:2023) ~[?:1.8.0_65]
        at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1125) ~[?:1.8.0_65]
        at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[?:1.8.0_65]
        at sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:747) ~[?:1.8.0_65]
        at sun.security.ssl.AppOutputStream.write(AppOutputStream.java:123) ~[?:1.8.0_65]
        at oracle.net.ns.Packet.send(Packet.java:419) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.net.ns.ConnectPacket.send(ConnectPacket.java:241) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.net.ns.NSProtocolStream.negotiateConnection(NSProtocolStream.java:157) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.net.ns.NSProtocol.connect(NSProtocol.java:264) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.jdbc.driver.T4CConnection.connect(T4CConnection.java:1452) ~[ojdbc7.jar:12.1.0.2.0]
        at oracle.jdbc.driver.T4CConnection.logon(T4CConnection.java:496) ~[ojdbc7.jar:12.1.0.2.0]

为了分析我们已经启用了ssl debug并找到了以下内容:

 *** ClientHello, TLSv1
RandomCookie:  GMT: 1491604703 bytes = { 8, 77, 210, 159, 243, 108, 135, 13, 187, 223, 121, 238, 236, 46, 76, 255, 76, 12, 130, 135, 233, 99, 154, 136, 70, 38, 132, 176 }
Session ID:  {223, 118, 94, 151, 92, 90, 47, 206, 76, 197, 24, 27, 241, 230, 236, 184, 87, 216, 9, 178, 99, 207, 38, 169, 193, 168, 99, 17, 211, 45, 239, 31}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
***
main, WRITE: TLSv1 Handshake, length = 183
main, READ: TLSv1 Handshake, length = 81

我们可以看到java客户端不支持SSL_RSA_WITH_AES_128_CBC_SHA256密码。所以我们安装了JDK8 Unlimited Strength Jars。即使在此之后,Java客户端也不支持SSL_RSA_WITH_AES_128_CBC_SHA256密码。

我的疑问是:

  1. 由于密码使用的是256位算法,因此,一旦我提供了Unlimited Strength Jars,为什么Java客户端仍然不支持上述密码。

  2. 正如我在Oracle文档here中看到的那样,它表示JDK 1.8默认支持上述密码。那么为什么Java客户端没有显示它忽略了上面的密码。

    3. 我没有得到我在这里失踪的东西。任何有关这方面的指导都非常感谢。

    修改

    根据评论中的建议使用ojdbc1.8解决了这个问题。但是,我对此提出了几个问题:

    1. 我可以看到,握手现在正在使用TLSv1.2进行,以前是TLSv1发生的。我从this link理解的是JDK 1.8默认支持TLSv1.2。为什么以前没有使用相同的。

    2. 与Cipher Suite相关,现在使用ojdbc8,正在传递其他密码,其中包括SSL_RSA_WITH_AES_128_CBC_SHA256密码,以前没有使用ojdbc7 jar。此Oracle链接表示JDK 1.8默认支持此密码。但最初,它不支持ojdbc7。我也不明白这是如何使ojdbc8产生差异的。

3 个答案:

答案 0 :(得分:1)

将使用过的库更改为ojdbc8解决了这个问题。

答案 1 :(得分:1)

错误19030178的修补后的ojdbc7.jar位于OTN。你可以下载这个,并使用12.2驱动程序也可以。

另请参阅此帖子"Database Connectivity over TLSv1.2 using JDBC thin and JKS"

答案 2 :(得分:0)

上述错误归因于Oracle bug 19030178。这个SO link详细解释了这些步骤。

ojdbc7 jar中,我们已应用bug 19030178的补丁并添加了所需的-D参数。通过这些更改,它可以正常工作。

相关问题
最新问题