我有一个在通过Netbeans调用时在Tomcat下运行的Web应用程序。我试图让它在日食下运行。
应用程序运行但其中一个Web服务调用失败,并显示有关“握手错误”的消息。我已经阅读了有关配置Tomcat使用的SSL连接器的不同内容,但我还没有让它工作。
我立即感到困惑的是用于证书文件和证书密钥文件的密码。我现在有以下连接器:
<Connector
SSLCertificateFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks"
SSLCertificateKeyFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts"
SSLCipherSuite="RC4-SHA:HIGH:!ADH:!SSLv2:@STRENGTH"
SSLEnabled="true"
SSLPassword="psw1"
SSLProtocol="all" acceptCount="100" disableUploadTimeout="true"
enableLookups="false" executor="tomcatThreadPool" maxThreads="200"
port="443" scheme="https" secure="true"/>
从Netbeans运行时,以下参数传递给Tomcat:
-Dhttps.proxyHost=127.0.0.1 -Dhttps.proxyPort=8888 -DproxySet=true
-Xms1024m -Xmx1024m -server -Djava.awt.headless=true -XX:NewSize=256m
-XX:MaxNewSize=256m -XX:PermSize=512m -XX:MaxPermSize=512m
-XX:+UseConcMarkSweepGC -XX:+UseParNewGC
-Djavax.net.ssl.keyStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks"
-Djavax.net.ssl.keyStorePassword=psw2
-Djavax.net.ssl.trustStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts"
-Djavax.net.ssl.trustStorePassword="psw2"
查看Tomcat文档,我在示例中没有看到“SSLCertificateFile”和“SSLCertificateKeyFile”参数;那些准确吗?密码是什么?
文档中有一个例子,包括参数“keystore”和“keypass”;那些等价的吗?还是首选?我还需要密钥文件及其密码吗?
===编辑===
好的,我现在明白JSSE和APR是Tomcat使用的SSL通信的不同实现,并且每个的配置都不同。我很确定我们正在使用JSSE; Netbeans配置是
-Djavax.net.ssl.keyStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks"
-Djavax.net.ssl.keyStorePassword=thePassword
-Djavax.net.ssl.trustStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts"
-Djavax.net.ssl.trustStorePassword="thePassword"
添加到命令行以执行服务器(以及其他参数),这看起来像我的JSSE参数。所以我将以下连接器放入server.xml:
<Connector
SSLEnabled="true"
clientAuth="false"
keystoreFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks"
keystorePass="changeit"
maxThreads="200"
port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
scheme="https"
secure="true"
sslProtocol="TLS"
enableLookups="false"
/>
但我没有看到有关'trustStore'或其密码的任何内容。这些参数是否也应该在server.xml中?或者你看到别的我做错了吗?
我已打开详细调试(-Djavax.net.debug=all);在我获得的例外情况下,有以下几行:
[write] MD5 and SHA1 hashes: len = 16
0000: 14 00 00 0C C5 D8 0A 7E A5 D1 18 87 5A D6 EE EB ............Z...
Padded plaintext before ENCRYPTION: len = 36
0000: 14 00 00 0C C5 D8 0A 7E A5 D1 18 87 5A D6 EE EB ............Z...
0010: 7D D4 BE 23 3C DB 78 99 10 43 94 45 10 09 20 8A ...#<.x..C.E.. .
0020: C7 41 74 B0 .At.
main, WRITE: TLSv1 Handshake, length = 36
[Raw write]: length = 41
0000: 16 03 01 00 24 5A 3F 83 45 A2 AA 61 7E F6 11 2D ....$Z?.E..a...-
0010: 43 9D 15 A7 46 D7 FC 6B F5 F2 26 BB 3E 35 D5 ED C...F..k..&.>5..
0020: 0D 3F 81 84 6B BF 12 69 48 .?..k..iH
[Raw read]: length = 5
0000: 15 03 01 00 02 .....
[Raw read]: length = 2
0000: 02 28 .(
main, READ: TLSv1 Alert, length = 2
main, RECV TLSv1 ALERT: fatal, handshake_failure
%% Invalidated: [Session-4, SSL_RSA_WITH_RC4_128_SHA]
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
main, called close()
main, called closeInternal(true)
DEBUG:[22:01:36] Could not close WebServiceConnection
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1977)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1093)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1328)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1355)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:515)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1090)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:250)
at org.springframework.ws.transport.http.HttpUrlConnection.getRequestOutputStream(HttpUrlConnection.java:84)
当然还有更多......
答案 0 :(得分:1)
首先,您应该知道Tomcat可以使用两种不同的SSL实现:
- JSSE实现作为Java运行时的一部分提供(自1.4起)。
- Apache Portable Runtime(APR)实现,或者所谓的tomcat&#34;本机库&#34;,默认情况下使用OpenSSL引擎 (这是最好的做法)。
您现在使用的是第二个实现(我想您已经在服务器上安装了它),但是SSLCertificateFile应该是证书文件的路径SSLCertificateKeyFile密钥文件的路径。您应该添加另一个名为SSLCertificateChainFile的属性,该属性应指向CA根证书的位置。
<Connector port="443" maxHttpHeaderSize="8192"
maxThreads="150"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
SSLEnabled="true"
SSLCertificateFile="path/to/certificateFile/conf/localhost.crt"
SSLCertificateKeyFile="path/to/privatekeyFile/localhost.key"
SSLPassword="keyStorePassw"
SSLCertificateChainFile="path/to/CAroot/certificate" keyAlias="youKeyAlias"
SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" />
否则如果你想在这里使用JSSE实现是一个如何做的例子:
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
disableUploadTimeout="true" acceptCount="100" scheme="https"
secure="true" SSLEnabled="true" clientAuth="false"
sslProtocol="TLS" keyAlias="yourKeyAlias"
keystoreFile="/path/to/yourKeystore/file.jks"
keystorePass="keyStorePassw" />
仅供参考: APR
SSLCertificateFile和SSLCertificateKey使用属性代替中使用的keystoreFile属性 JSSE 实施。
有关使用SSL Tomcat with SSL
配置tomcat的详细信息