为tls握手指定密码套件

时间:2015-06-25 08:36:30

标签: java security ssl encryption jetty

在我的要求规范中写道:

支持这些安全框架的TLS实现应至少实现以下密码套件:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

Java表示它在Java7的TLSv1.2中提供了这个密码套件的实现。

我是安全新手,所以不知道如何使用它。

在我的客户端,我正在使用:

sslcontext = SSLContexts.custom()
                    .loadTrustMaterial(..)
                   .loadKeyMaterial(..)
                   .useProtocol("TLSv1.2")
                    .build();

我从谷歌那里学到的是,客户端提供了一系列服务器和服务器选择的选项。如果我错了,请纠正我。

现在我想在服务器端指定它,我不知道该怎么做如果我使用带有安全连接器的码头:

<Call name="addConnector">
     <Arg>
       <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
         <Arg>
           <New class="org.eclipse.jetty.http.ssl.SslContextFactory">
             <Set name="KeyStore">./etc/keystores/server.jks</Set>
             <Set name="KeyStorePassword">password</Set>
             <Set name="KeyManagerPassword">password</Set>
             <Set name="TrustStore">./etc/keystores/trust_store.jks</Set>
             <Set name="TrustStorePassword">password</Set>
             <Set name="wantClientAuth">true</Set>
             <Set name="needClientAuth">true</Set>
           </New>
         </Arg>
         <Set name="port">8443</Set>
         <Set name="maxIdleTime">30000</Set>
       </New>
     </Arg>
</Call> 

它有效,

如果我添加以下内容,将启用TLSv1.1:

<Set name="excludeProtocols">
      <Array type="java.lang.String">
        <Item>SSLv3</Item>
        <Item>TLSv1.2</Item>
        <Item>TLSv1</Item>
        <Item>SSLv2Hello</Item>
      </Array>
     </Set>

它会给出错误:

  

执行requestGET https://localhost:8443/ HTTP / 1.1异常   线程&#34;主要&#34; javax.net.ssl.SSLHandshakeException:服务器选择了   TLSv1.1,但未启用或不支持该协议版本   客户。

但如果我只允许TLSv1.2,它会运行:

<Set name="excludeProtocols">
          <Array type="java.lang.String">
            <Item>SSLv3</Item>
            <Item>TLSv1.1</Item>
            <Item>TLSv1</Item>
            <Item>SSLv2Hello</Item>
          </Array>
         </Set>

但是,如果我在ciphersuite规范中指定协议:

 <Set name="IncludeCipherSuites">
    <Array type="java.lang.String">
      <Item>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256</Item>
    </Array>
  </Set>

我得到以下例外:

  

线程中的异常&#34; main&#34; javax.net.ssl.SSLHandshakeException:远程   在握手期间主机关闭连接   sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:912)at at   sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1294)     在   sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1321)     在   sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1305)     在   org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:394)     在   org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:353)     在   org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:134)     在   org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:353)     在   org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:380)     在   org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:236)     在   org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:184)     在   org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:88)     在   org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:110)     在   org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:184)     在   org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:82)     在   org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:107)     at client.ClientCustomSSL.main(ClientCustomSSL.java:69)引起:   java.io.EOFException:SSL对等方未正确关闭   sun.security.ssl.InputRecord.read(InputRecord.java:352)at   sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:893)...   16更多

我接下来尝试的是在客户端使用工厂:

SSLConnectionSocketFactory factory=new SSLConnectionSocketFactory(sslcontext, new String[]{"TLSv1.2"},sslcontext.getDefaultSSLParameters().getCipherSuites(), SSLConnectionSocketFactory.getDefaultHostnameVerifier());

我已经在屏幕上打印了这些密码套件。

sslcontext.getDefaultSSLParameters().getCipherSuites()

然后我排除了所有这些密码组,除了&#34; TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256&#34; ,它给了我错误

<Set name="ExcludeCipherSuites">
        <Array type="java.lang.String">
           <Item>...</Item>

                  <!--
            <Item>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256</Item>
              -->
            </Array>
      </Set>

但是,如果我排除除了&#34; TLS_RSA_WITH_AES_128_CBC_SHA256&#34; ,它有效。

<Set name="ExcludeCipherSuites">
        <Array type="java.lang.String">
          <Item>...</Item>
          <!--
            <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             -->
                </Array>
      </Set>

这意味着一些密码套件由码头支持,而有些则不支持。

是这样吗?我们有这样的清单吗?或者还有其他方法可以做到这一点。请指导。 我想用这个密码来进行这次握手,但我不知道怎么做。

1 个答案:

答案 0 :(得分:0)

如上所述,我需要启用无效的密码套件TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,但TLS_RSA_WITH_AES_128_CBC_SHA256无效。

在进一步研究中,我知道这可能是因为用于创建证书的keyalgorithm。

我在keytool中使用RSA作为证书创建的keyalg,它不支持TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,但它支持TLS_RSA_WITH_AES_128_CBC_SHA256。

所以,我使用EC作为keyalg支持TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256