我正在进行JBoss AS 5.1到7.4以及Java 6到7的迁移,并且握手失败。
密钥库和信任库是我们在Java 6中成功使用的密钥库和信任库。
我已经编写了一些测试来缩小问题范围,它绝对不是JBoss,而是Java 7。
启用SSL日志记录后,我明白了:
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) %% Invalidated: [Session-2, SSL_RSA_WITH_RC4_128_SHA]
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, SEND TLSv1 ALERT: fatal, description = certificate_unknown
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, WRITE: TLSv1 Alert, length = 2
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called closeSocket()
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, handling exception: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
17:44:30,041 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called close()
17:44:30,042 INFO [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called closeInternal(true)
有一些线索涉及这个(或类似的)问题,人们建议用不同的参数重新创建证书或信任商店。我不想走这条路,因为我最近没有成功,试图为同一个网络服务的不同账户创建更多这样的密钥库和信任库。
由于我们在Java 6中使用这些旧的(密钥库和信任库),我希望尽可能保留它们。
看来问题可能是由于Java 7在检查信任库证书链方面更紧张?
是否可以设置一些标志来放松检查,使其表现得像Java 6?
我不能100%确定的是如何解释失败消息:我认为它告诉我它是我的机器(不是删除服务器),这不是&# 39;确认远程机器是安全的。这是对的吗?
任何帮助/想法都赞赏!
=============================================== ===========
正如所建议的那样,在访问WS URL时从firefox导出的PEM(带链)添加到信任库。这并没有使它握手,但稍微改变了失败。
***
%% Invalidated: [Session-1, SSL_RSA_WITH_RC4_128_SHA]
main, SEND TLSv1 ALERT: fatal, description = certificate_unknown
main, WRITE: TLSv1 Alert, length = 2
[Raw write]: length = 7
0000: 15 03 01 00 02 02 2E .......
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1884)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
=============================================== ===============
另外,正如其他主题中所建议的,我已经编写了另一个使用不验证证书链的TrustManager的测试,并使用我的原始信任库运行它。
此测试能够连接,从而表明我的机器验证远程机器是唯一的问题,并且我的密钥库很好。
但是,我不能将此方法用于我们的实际Web服务客户端,因为它使用Sun RPC lib,并且连接发生在代码深处,所以我无法触及它。
答案 0 :(得分:10)
首先,是的,例外情况是您机器中的Java SSL模块不信任从服务器收到的身份证明(证书)。
是的,Java 7会进行更严格的检查。可能会有更多,但我确定的是,它不允许子证书的有效期在父/ CA证书之后结束(或者之前开始,但在实践中没有&# 39; t发生)。请参阅PKIX Path does not chain with any of the trust anchors error in Windows Environment,其中说明这是一个错误并将被修复。
要检查:如果服务器是Web服务器,您可以使用浏览器访问任何(无害)页面,并使用它来查看证书链。否则,运行openssl s_client -connect $host:443 -showcerts并在连接后输入EOF(Unix ^ D,Windows ^ Z),然后将每个----BEGIN CERT...到-----END CERT...块放在不同的文件中并运行openssl x509 -noout -subject -issuer -startdate -enddate按顺序排列。
要修复:如果这是问题,除了关闭所有证书检查(从而失去SSL的某些安全性)之外,似乎无法直接关闭它,但添加您的信任库的服务器实体证书应该工作,因为Java没有验证链。 (你不需要删除那些已经存在的内容,只需使用一个尚未使用的别名。)祝你好运。