我们有一个Java小程序(在tomcat下运行),可以调用第三方。其中之一使用客户端证书进行身份验证。这是在Java 8下工作的,但是我们最近将系统升级到了Java 11,现在已经不行了。错误是
不支持的握手消息:server_hello_done
(这很奇怪,因为我认为 server_hello_done 是握手的有效部分)
升级后,我们的Java密钥库确实有问题。服务失败,因为它不是有效的PCKS12流。使用keytool列出内容可以,但是带有警告
警告:
JKS密钥库使用专有格式。建议使用“ keytool -importkeystore -srckeystore / path / to / keystore -destkeystore / path / to / keystore -deststoretype pkcs12”迁移到行业标准格式PKCS12
我们使用了建议的命令,现在它打开了密钥库OK,但是出现了握手错误。
追溯到我们的代码的堆栈是:
Unsupported handshake message: server_hello_done
javax.net.ssl.SSLProtocolException: Unsupported handshake message: server_hello_done
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:126)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:321)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:264)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:446)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:178)
at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1152)
at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1063)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:396)
at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)
at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)
at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)
at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)
at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)
at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)
at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)
我们正在使用apache http客户端(org.apache.http.impl.client.CloseableHttpClient)。堆栈跟踪的下一行只是对我们代码中的client.execute()
的调用。
它还包括
Caused by: java.lang.UnsupportedOperationException: Not supported yet.
at java.base/sun.security.ssl.HandshakeHash$CloneableHash.archived(HandshakeHash.java:616)
at java.base/sun.security.ssl.HandshakeHash$T12HandshakeHash.archived(HandshakeHash.java:546)
at java.base/sun.security.ssl.HandshakeHash.archived(HandshakeHash.java:188)
at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyMessage.<init>(CertificateVerify.java:581)
at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyProducer.produce(CertificateVerify.java:740)
at java.base/sun.security.ssl.SSLHandshake.produce(SSLHandshake.java:436)
at java.base/sun.security.ssl.ServerHelloDone$ServerHelloDoneConsumer.consume(ServerHelloDone.java:173)
at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:444)
第三方确认他们在日志中看到“没有共享密码”,但表示他们支持多种密码(“ SSL3,TLS 1.0、1.1或1.2。密码被标记为HIGH:MEDIUM: !aNULL:!eNULL:@STRENGTH“ )。我认为我们支持除SSL3之外的大多数内容。据我所知,我们在Java 11中有默认设置。尝试暂时激活SSLv3,但无法连接(尽管尝试恢复后即使连我都无法从该计算机连接(超时),所以这可能不多说-我从一台测试计算机而不是生产计算机尝试过) )。
有什么想法吗?我是在正确的位置继续查看密码还是我缺少什么?
答案 0 :(得分:0)
原来,所需要做的只是重启tomcat!但是,由于这是一台生产服务器,需要执行许多操作,所以我不想在第一步中这样做。但是它解决了。
我对发生的事情的最佳猜测是:
真正奇怪的是,即使在不同的IP(我尝试过对第三方的Test服务器)和不同的密钥库(我制作了更新的密钥库的副本,并做了一个使用该密钥库的请求)下,它的行为也相同)。最初的错误是“ Stream不是有效的PKCS12密钥库” ,并且堆栈跟踪返回到试图在我们的代码中打开密钥库的行。修复了密钥库格式之后,它在我们的代码中有了更进一步的发展(堆栈跟踪现在返回到client.execute()
),但由于_Unsupported握手消息server_hello_done_而失败。
我创建了整个tomcat文件夹(包括jre)的副本,最初带有原始(无效的)密钥库,将其更改为在另一个端口上运行,然后在同一台机器上的该tomcat旁边启动了它。它的行为相同,但是重新启动后可以工作。今天早上,我重新启动了主要服务,现在可以使用