Java 11发出不支持的握手消息：HTTPS连接上具有客户端证书的server_hello_done

Question

我们有一个Java小程序（在tomcat下运行），可以调用第三方。其中之一使用客户端证书进行身份验证。这是在Java 8下工作的，但是我们最近将系统升级到了Java 11，现在已经不行了。错误是

  

不支持的握手消息：server_hello_done

（这很奇怪，因为我认为 server_hello_done 是握手的有效部分）

升级后，我们的Java密钥库确实有问题。服务失败，因为它不是有效的PCKS12流。使用keytool列出内容可以，但是带有警告

  

警告：

     

JKS密钥库使用专有格式。建议使用“ keytool -importkeystore -srckeystore / path / to / keystore -destkeystore / path / to / keystore -deststoretype pkcs12”迁移到行业标准格式PKCS12

我们使用了建议的命令，现在它打开了密钥库OK，但是出现了握手错误。

追溯到我们的代码的堆栈是：

Unsupported handshake message: server_hello_done
javax.net.ssl.SSLProtocolException: Unsupported handshake message: server_hello_done
    at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:126)
    at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:321)
    at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:264)
    at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:446)
    at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
    at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:178)
    at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
    at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1152)
    at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1063)
    at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:396)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)
    at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
    at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)
    at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)
    at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)
    at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)
    at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
    at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)
    at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)

我们正在使用apache http客户端（org.apache.http.impl.client.CloseableHttpClient）。堆栈跟踪的下一行只是对我们代码中的client.execute()的调用。

它还包括

Caused by: java.lang.UnsupportedOperationException: Not supported yet.
        at java.base/sun.security.ssl.HandshakeHash$CloneableHash.archived(HandshakeHash.java:616)
        at java.base/sun.security.ssl.HandshakeHash$T12HandshakeHash.archived(HandshakeHash.java:546)
        at java.base/sun.security.ssl.HandshakeHash.archived(HandshakeHash.java:188)
        at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyMessage.<init>(CertificateVerify.java:581)
        at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyProducer.produce(CertificateVerify.java:740)
        at java.base/sun.security.ssl.SSLHandshake.produce(SSLHandshake.java:436)
        at java.base/sun.security.ssl.ServerHelloDone$ServerHelloDoneConsumer.consume(ServerHelloDone.java:173)
        at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
        at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:444)

第三方确认他们在日志中看到“没有共享密码”，但表示他们支持多种密码（“ SSL3，TLS 1.0、1.1或1.2。密码被标记为HIGH：MEDIUM： ！aNULL：！eNULL：@STRENGTH“ ）。我认为我们支持除SSL3之外的大多数内容。据我所知，我们在Java 11中有默认设置。尝试暂时激活SSLv3，但无法连接（尽管尝试恢复后即使连我都无法从该计算机连接（超时），所以这可能不多说-我从一台测试计算机而不是生产计算机尝试过） ）。

有什么想法吗？我是在正确的位置继续查看密码还是我缺少什么？

Answer 1

原来，所需要做的只是重启tomcat！但是，由于这是一台生产服务器，需要执行许多操作，所以我不想在第一步中这样做。但是它解决了。

我对发生的事情的最佳猜测是：

• 密钥库的格式与更新的Java版本的格式错误
• 尝试使用无效的密钥库将tomcat / java置于某种奇怪的状态
• 更新密钥库允许Java使用它，但它仍处于某种怪异状态
• 重新启动它。

真正奇怪的是，即使在不同的IP（我尝试过对第三方的Test服务器）和不同的密钥库（我制作了更新的密钥库的副本，并做了一个使用该密钥库的请求）下，它的行为也相同）。最初的错误是“ Stream不是有效的PKCS12密钥库” ，并且堆栈跟踪返回到试图在我们的代码中打开密钥库的行。修复了密钥库格式之后，它在我们的代码中有了更进一步的发展（堆栈跟踪现在返回到client.execute()），但由于_Unsupported握手消息server_hello_done_而失败。

我创建了整个tomcat文件夹（包括jre）的副本，最初带有原始（无效的）密钥库，将其更改为在另一个端口上运行，然后在同一台机器上的该tomcat旁边启动了它。它的行为相同，但是重新启动后可以工作。今天早上，我重新启动了主要服务，现在可以使用