java - Java 11 给出了 Unsupported handshake message: server_hello_done on HTTPS connection with client certificate
问题描述
我们有一个调用第三方的 Java 小程序(在 tomcat 下运行)。其中之一使用客户端证书进行身份验证。这在 Java 8 下工作,但我们最近将系统升级到 Java 11,但它不再可用。错误是
不支持的握手消息:server_hello_done
(这很奇怪,因为我认为server_hello_done是握手的有效部分)
升级后我们确实遇到了 java 密钥库的问题。该服务失败,说它不是有效的 PCKS12 流。使用 keytool 列出内容有效,但有警告
警告:
JKS 密钥库使用专有格式。建议使用“keytool -importkeystore -srckeystore /path/to/keystore -destkeystore /path/to/keystore -deststoretype pkcs12”迁移到行业标准格式 PKCS12
我们使用了建议的命令,它现在可以打开密钥库,但是我们得到了握手错误。
回到我们代码的堆栈跟踪是:
Unsupported handshake message: server_hello_done
javax.net.ssl.SSLProtocolException: Unsupported handshake message: server_hello_done
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:126)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:321)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:264)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:446)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:178)
at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1152)
at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1063)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:396)
at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)
at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)
at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)
at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)
at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)
at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)
at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)
我们正在使用 apache http 客户端(org.apache.http.impl.client.CloseableHttpClient)。堆栈跟踪中的下一行只是client.execute()
我们代码中的调用。
它还包括
Caused by: java.lang.UnsupportedOperationException: Not supported yet.
at java.base/sun.security.ssl.HandshakeHash$CloneableHash.archived(HandshakeHash.java:616)
at java.base/sun.security.ssl.HandshakeHash$T12HandshakeHash.archived(HandshakeHash.java:546)
at java.base/sun.security.ssl.HandshakeHash.archived(HandshakeHash.java:188)
at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyMessage.<init>(CertificateVerify.java:581)
at java.base/sun.security.ssl.CertificateVerify$T12CertificateVerifyProducer.produce(CertificateVerify.java:740)
at java.base/sun.security.ssl.SSLHandshake.produce(SSLHandshake.java:436)
at java.base/sun.security.ssl.ServerHelloDone$ServerHelloDoneConsumer.consume(ServerHelloDone.java:173)
at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:444)
第三方确认他们在日志中看到“没有共享密码”,但表示他们支持广泛的密码(“SSL3、TLS 1.0、1.1 或 1.2。密码被标记为 HIGH:MEDIUM:!aNULL:!eNULL: @STRENGTH”)。我认为我们支持除了 SSL3 之外的大部分内容。据我所知,我们在 java 11 中有默认设置。尝试暂时激活 SSLv3 但无法连接(尽管因为尝试我无法从那台机器连接(超时)即使在恢复后,所以这可能没什么好说的 - 我尝试从测试机器而不是生产机器那)。
有任何想法吗?我是在正确的路线上继续查看密码还是我遗漏了什么?
解决方案
原来只需要重启tomcat!但是,由于这是一个生产服务器,它做很多事情,我不想在第一步中这样做。但它修复了它。
我对发生的事情的最佳猜测是:
- 更新后的 java 版本的密钥库格式错误
- 使用无效密钥库的尝试将 tomcat/java 置于某种奇怪的状态
- 更新密钥库允许 java 使用它,但它仍然处于某种奇怪的状态
- 重启就解决了。
真正奇怪的是,即使针对不同的 IP(我尝试针对第三方的测试服务器)和不同的密钥库(我制作了更新的密钥库的副本并执行了使用该密钥库的请求),它的行为方式也是相同的。最初的错误是“Stream is not a valid PKCS12 keystore”,堆栈跟踪返回到尝试在我们的代码中打开密钥库的行。client.execute()
修复了密钥库格式后,它在我们的代码中更进一步 (堆栈跟踪现在回到
我创建了整个 tomcat 文件夹(包括 jre)的副本,最初是原始(无效)密钥库,将其更改为在另一个端口上运行,并在同一台机器上的该 tomcat 旁边启动它。它的行为相同,但在重新启动后工作。今天早上我重新启动了主要服务,现在它可以工作了
推荐阅读
- objective-c - 如何正确保存和读取图像?
- javascript - 在新的 Chrome 窗口中打开多个标签
- python - Python中的贝叶斯ARIMA模型
- angular - Angular Material datepicker延迟加载
- java - 以有效的方式获取所有可能的 JavaPairRDD 键组合
- css - CSS选择器:如果包含另一个div,则last-of-type不起作用
- login - 自己的组件调用 com_user login 而不调用它
- c++ - Eclipse,C++,如何打开/关闭在线解析的#define
- angular - Angular 7 的材质表有虚拟滚动吗?
- python - 使用 keras 进行文档分类 - 数字的分层序列