我正在使用jersey-apache-client进行ssl连接。我在验证连接时收到握手错误。以下是握手错误。
WRITE: TLSv1 Change Cipher Spec, length = 1
Finished
verify_data: { 165, 117, 49, 237, 116, 71, 111, 175, 161, 237, 45, 30 }
WRITE: TLSv1 Handshake, length = 48
READ: TLSv1 Alert, length = 2
RECV TLSv1 ALERT: fatal, handshake_failure
%% Invalidated: [Session-1, TLS_DHE_RSA_WITH_AES_128_CBC_SHA]
如果我使用 jersey-client-1.13 ,代码工作正常,我没有收到握手错误。
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);
final ClientConfig config = new DefaultClientConfig();
config.getProperties().put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES, new HTTPSProperties(null, ctx));
Client create = Client.create(config);
create.resource(targetUrl).post();
由于jersey-client.1.13不支持代理,我使用 jersey-apache-client.1.18 。在下面的代码中,我使用了 DefaultApacheHttpClientConfig ,添加了代理支持,使用 ApacheHttpClient 创建了客户端。
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);
final DefaultApacheHttpClientConfig apacheConfig = new DefaultApacheHttpClientConfig();
final Map<String, Object> properties = apacheConfig.getProperties();
properties.put(DefaultApacheHttpClientConfig.PROPERTY_PROXY_URI, "http://" + proxyHost + ":" + proxyPort);
properties.put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES, new HTTPSProperties(null,ctx));
apacheConfig.getState().setProxyCredentials(AuthScope.ANY_REALM, proxyHost, Integer.parseInt(proxyPort),proxyUser, proxyPassword);
Client create = ApacheHttpClient.create(apacheConfig);
create.resource(targetUrl).post();
我找不到解决方案。两种情况下的证书都很好。
注意:我还尝试过没有代理的jersey apache客户端,但仍然存在错误。
有人发现出了什么问题吗?提前致谢。
答案 0 :(得分:0)
原因是为Jersey配置了SSL套接字工厂,但是您使用的是Jersey Apache连接器,因此应该直接在Apache HttpClient上配置SSL套接字工厂。对于Jersey(2.x)的更高版本,这可能会为您完成,但对于Apache连接器和Jersey 1.x,您需要配置它。像这样:
Protocol apacheProtocol = new Protocol("https", socketFactory, 443);
HostConfiguration hostConfig = new HostConfiguration();
hostConfig.setHost("your.hostname.org", 443, apacheProtocol);
HttpClient httpClient = new HttpClient();
httpClient.setHostConfiguration(hostConfig);
ApacheHttpClientHandler handler = new ApacheHttpClientHandler(httpClient);
Client client = new ApacheHttpClient(handler);
另一个问题是,如果你在Jersey WebResource(设置主机名和端口)上使用绝对URI,那么将使用自定义SSLSocketFactory覆盖HostConfiguration - 并且HttpClient将默认使用JVM的CA证书(true至少对于Apache Client 3.1。
如果之前有效,您可能一直在使用JVMs cacerts信任的证书。 实际上,这里的一个选项是使用命令行keytool手动将您正在使用的证书添加到JVMs cacerts文件中(但对于某些应用程序,这可能不是一个可接受的解决方案)。
答案 1 :(得分:0)
基本上这个问题是由于本地JAVA和https站点之间的密码不匹配造成的。您可能需要为您的JVM安装JCE扩展。
使用https://www.ssllabs.com/检查您的REST API是否支持java check this image example
如果显示如下,您可以从http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html下载文件。完成后,将JRE的lib / security目录下的两个JAR(local_policy.jar,US_export_policy.jar)替换为下载的包中的JAR。
如果没有,请提供更多详细信息,以便我们详细检查。
在这里检查解决方案我只是累了How to debug the ssl connection error,它对我有用并节省了我的一天!