在服务器端记录SSL错误(如javax.net.debug = ssl)

时间:2018-03-15 15:20:38

标签: java ssl logging

当客户端尝试连接但是使用SSL失败时,我试图在服务器端获取日志记录信息。

显而易见的方法是设置标记-Djavax.net.debug=ssl,但这不会起作用,因为:

  1. 它太冗长了
  2. 任何修饰符(即-Djavax.net.debug=ssl:record:handshake等)都不起作用(这是一个已知的错误referenced here,但网上有很多网站建议使用这些错误。

    3. 我已经想过将所有标准输出捕获到文件并从那里过滤,但是还有其他消息应该标准化,我也​​会抓住。

    有人建议使用记录器,但我不确定是否可以使用记录器捕获javax.net.debug输出

    我需要什么

    有没有办法输出ssl的日志信息,每个请求不超过200行或

    有没有办法让ssl日志记录转到单独的文件,同时保持其他所有内容不受影响。

    谢谢!

2 个答案:

答案 0 :(得分:0)

这是asked already没有任何答案。

没有办法摆脱不尊重冗长配置的JDK-8044609 bug,更糟糕的是,混合来自不同线程的输出。它的设计存在问题。

如果您要编写任何代码而不仅仅依赖于即用型服务器(Tomcat,JBOSS,...),您可以执行以下操作:

  • 编码JSSE Customization中列出的自己的类将禁止默认输出记录
  • 实现您自己的输出,该输出将捕获对System.out的所有调用,并仅打印您想要的消息。这可能很困难,您可以通过两种方式选择要打印或忽略的消息:使用REGEX检查消息,或检查它来自哪个线程。

更改默认输出here(已成功测试)。识别调用线程given here,也进行了测试,这里是混合这两个解决方案的示例输出:

->sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)
->HTTPSClient.main(HTTPSClient.java:24)
->-->
->%% No cached client session
->java.lang.Thread.getStackTrace(Thread.java:1556)
->Interceptor.println(HTTPSClient.java:93)
->sun.security.ssl.HandshakeMessage$ClientHello.print(HandshakeMessage.java:306)
->sun.security.ssl.Handshaker.kickstart(Handshaker.java:1064)
->sun.security.ssl.SSLSocketImpl.kickstartHandshake(SSLSocketImpl.java:1487)
->sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1351)
->sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403)
->sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387)
->sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
->sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
->sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1546)
->sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1474)
->sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)
->HTTPSClient.main(HTTPSClient.java:24)
->-->
->*** ClientHello, TLSv1.2
->RandomCookie:  ->GMT: 1504449179 ->bytes = { 240->, 208->, 36->, 132->, 222->, 113->, 11->, 186->, 189->, 196->, 141->, 203->, 159->, 37->, 198->, 123->, 253->, 150->, 193->, 44->, 78->, 85->, 128->, 220->, 54->, 90->, 33->, 16->java.lang.Thread.getStackTrace(Thread.java:1556)
->Interceptor.println(HTTPSClient.java:93)
->sun.security.ssl.RandomCookie.print(RandomCookie.java:87)
->sun.security.ssl.HandshakeMessage$ClientHello.print(HandshakeMessage.java:310)
->sun.security.ssl.Handshaker.kickstart(Handshaker.java:1064)
  

有没有办法让ssl日志记录转到单独的文件   让其他一切不受影响。

是的,现在你可以从上面推断出怎么做了。识别调用线程并发送到不同的输出。

解决方案可能看起来很苛刻,而不是你期望的解决方案,但正如你所看到的那样,多年来一直没有回答,Java开发团队也没有采取行动。

答案 1 :(得分:0)

我已经编写了一个调试JSSE提供程序,通过添加用于信任管理器和密钥管理器的代理,使您可以进行自己的方法级别日志记录,并提供了一个示例,该示例显示了如何集成到SLF4J中。您打开它,它应该可以执行您想要的操作。

<dependency>
    <groupId>com.tersesystems.debugjsse</groupId>
    <artifactId>debugjsse</artifactId>
    <version>0.1.0-SNAPSHOT</version>
</dependency>

https://tersesystems.com/blog/2018/07/27/debug-java-tls-ssl-provider/

我知道的另一种方法是换掉调试方法,可以使用https://tersesystems.com/blog/2014/03/02/monkeypatching-java-classes/完成。即使这样,它还是不一致的,因为有些类使用Debug类,而有些则直接写入System.out.println。有一个补丁,但never got anywhere

相关问题
最新问题