我正在从SymmetricDS(SDS)2.5.13升级到3.1.5。 我已配置TLS / HTTPS,并按预期在SDS 2.5.13下运行。但是,使用完全相同的证书,密钥库/信任库文件以及相同的JDK ,我在服务包装器日志(wrapper.log)中的SDS 3.1.5下收到以下错误:
SEND TLSv1 ALERT: fatal, description = handshake_failure
WRITE: TLSv1 Alert, length = 2
called closeSocket()
handling exception: javax.net.ssl.SSLHandshakeException: no cipher suites in common
我有一个双节点配置,其中一个配置为注册服务器(父节点)。子节点配置为推送和拉取更改。我正在使用Sun(Oracle)JDK 7更新5以及相应的JCE Unlimited Strength Jurisdiction Policy Files(以获得对256位密码的访问权限)。
我在独立配置中运行SDS作为Server 2008下的Windows服务.Windows防火墙目前已关闭。
我通过sym_service.conf文件将以下与TLS相关的Java参数传递给服务包装器:
wrapper.java.additional.6=-Dsym.keystore.file=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.7=-Djavax.net.ssl.keyStore=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.8=-Djavax.net.ssl.trustStore=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.9=-Djavax.net.ssl.keyStorePassword=letmein
wrapper.java.additional.10=-Djavax.net.ssl.trustStorePassword=letmein
wrapper.java.additional.11=-Dsun.net.client.defaultReadTimeout=1800000
wrapper.java.additional.12=-Dsun.net.client.defaultConnectTimeout=1800000
wrapper.java.additional.13=-Djavax.net.debug=ssl,handshake
注意:作为Java应用程序的标准做法,我们对密钥库和信任库使用相同的Java密钥库文件。
这是服务包装器配置为启动SDS的方式:
wrapper.app.parameter.1=org.jumpmind.symmetric.SymmetricLauncher
wrapper.app.parameter.2=--secure-server
wrapper.app.parameter.3=--secure-port
wrapper.app.parameter.4=25684
wrapper.app.parameter.5=--properties
wrapper.app.parameter.6=../conf/symmetric.properties
sym_node和symmetric.properties中的条目已正确配置为使用HTTPS(而不是HTTP)。
启动与父级通信的子SDS节点报告此错误:
WRITE: TLSv1 Handshake, length = 198
READ: TLSv1 Alert, length = 2
RECV TLSv1 ALERT: fatal, handshake_failure
called closeSocket()
handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
父节点报告此错误:
SEND TLSv1 ALERT: fatal, description = handshake_failure
WRITE: TLSv1 Alert, length = 2
called closeSocket()
handling exception: javax.net.ssl.SSLHandshakeException: no cipher suites in common
正如我之前提到的,相同的配置(服务器,证书,密钥库/可信任文件,JDK)可以在SDS 2.5.13下实现TLS / HTTPS安全性。唯一的增量是切换到SDS 3.1.5。如果我在SDS 3.1.5中禁用TLS / HTTPS配置并使用HTTP,则父节点和子节点可以相互通信。
作为一个绝望,健全的检查,我编写了一个快速的“Hello World”客户端服务器应用程序来在我的子节点机器上创建一个SSLSocket并向服务器节点机器发送一行文本(使用相同的TCP端口I一直用于SDS)。使用相同的JDK和相同的密钥库/信任库文件编译并运行程序。像冠军一样工作。
我完全难过了。任何帮助将不胜感激。
答案 0 :(得分:2)
回答了我自己的问题。显然没有人在除我之外的SymmetricDS(SDS)节点之间使用TLS(完全没有响应)。原始的错误信息让我失望,让我看着所有错误的地方。
似乎3.x版本的SDS(至少3.1.5)现在要求您提供您在密钥库中使用的证书的“别名”。该值作为Java运行时参数“sym.keystore.ssl.cert.alias”提供。对于Windows用户,它将放在服务包装器配置文件(sym_service.conf)中:
<强> wrapper.java.additional.XX = -Dsym.keystore.ssl.cert.alias = FOO 强>
SDS 2.5.13中似乎不需要或不存在此参数,并且未在SDS 3.1.5(或更高版本)的任何位置记录。它不会出现在随SDS 3.1.5(或SDS 3.2.0,我检查过)的二进制下载提供的任何配置文件中。
通过查看SDS源代码如何建立安全连接,我能够找出我的SDS TLS问题。
org.jumpmind.symmetric.SymmetricWebServer使用certficate别名,如下所示:
sslConnectorFactory.setCertAlias(System.getProperty(SystemConstants.SYSPROP_KEYSTORE_CERT_ALIAS,“sym”));
SystemConstants.SYSPROP_KEYSTORE_CERT_ALIAS设置为“ sym.keystore.ssl.cert.alias ”。
一旦我在sym_service.conf中提供了正确的别名,我就很高兴。