如何使Java 6与“SSL连接失败”；SSL对等端错误关闭“错误”；，像Java7一样成功吗？_Java_Ssl_Handshake_Sslhandshakeexception

如何使Java 6与“SSL连接失败”；SSL对等端错误关闭“错误”；，像Java7一样成功吗？

java ssl

如何使Java 6与“SSL连接失败”；SSL对等端错误关闭“错误”；，像Java7一样成功吗？,java,ssl,handshake,sslhandshakeexception,Java,Ssl,Handshake,Sslhandshakeexception,我看到运行Java 6的客户端的SSL连接失败，出现如下异常： Caused by: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:882) at com.sun.net.ssl.internal.ssl.SS

我看到运行Java 6的客户端的SSL连接失败，出现如下异常：

Caused by: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:882)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1188)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1215)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1199)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:434)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:133)
    ... 35 more
Caused by: java.io.EOFException: SSL peer shut down incorrectly
    at com.sun.net.ssl.internal.ssl.InputRecord.read(InputRecord.java:462)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:863)
    ... 41 more

该服务器是一个基于Tomcat7的应用程序，运行在Java7、Linux和AmazonEC2上

我发现了很多关于可能原因的建议，包括意外连接到非SSL端口，等等。我相信我已经排除了这一切，主要是因为当运行Java 7时，完全相同的客户机工作，没有任何更改。（在这两种情况下都是OSX。）

下面我将介绍Java6和Java7的SSL连接过程的调试输出。我向专家们提出的问题是，这是否意味着可以在Java 6中启用一些可能的密码或协议设置（可能是Java 7中的默认设置）以使其正常工作
Java 6：

Allow unsafe renegotiation: false Allow legacy hello messages: true Is initial handshake: true Is secure renegotiation: false %% No cached client session *** ClientHello, TLSv1 RandomCookie: GMT: 1363993281 bytes = { 77, 153, 100, 72, 45, 178, 253, 243, 195, 167, 17, 151, 39, 247, 148, 102, 213, 129, 39, 17, 26, 139, 157, 154, 63, 88, 41, 160 } Session ID: {} Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_DES_CBC_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA, SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5, SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV] Compression Methods: { 0 } *** main, WRITE: TLSv1 Handshake, length = 81 main, WRITE: SSLv2 client hello message, length = 110 main, received EOFException: error main, handling exception: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake main, SEND TLSv1 ALERT: fatal, description = handshake_failure main, WRITE: TLSv1 Alert, length = 2 main, called closeSocket()
Java 7：

Ignoring unavailable cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA Ignoring unavailable cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA Ignoring unavailable cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256 Ignoring unavailable cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 Ignoring unavailable cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 Ignoring unavailable cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA Ignoring unavailable cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA256 Allow unsafe renegotiation: false Allow legacy hello messages: true Is initial handshake: true Is secure renegotiation: false main, setSoTimeout(0) called %% No cached client session *** ClientHello, TLSv1 RandomCookie: GMT: 1363993435 bytes = { 131, 83, 80, 186, 215, 90, 171, 131, 231, 18, 184, 183, 249, 155, 197, 204, 73, 1, 74, 79, 32, 142, 236, 28, 111, 37, 58, 255 } Session ID: {} Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV] Compression Methods: { 0 } Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1} Extension ec_point_formats, formats: [uncompressed] Extension server_name, server_name: [host_name: ec2-xx-xx-xx-xx.compute-1.amazonaws.com]

在
Java6
的调试日志中，请求似乎是以
SSLv2
格式发送的
main，WRITE:SSLv2客户端hello消息，长度=110
在Java 7中，默认情况下未提及这一点。
将客户端更改为使用SSLv3及以上版本，以避免此类互操作性问题

查找中的
JSSE
提供程序的差异，并从客户端SSLSocket或HttpsURLConnection上启用的协议中删除“sslv2clienthlo”。
Bruno的答案最终是正确的。这最容易由
https.protocols
系统属性控制。这就是如何控制factory方法返回的内容。例如，设置为“TLSv1”
这样做：

SSLSocket socket = (SSLSocket) sslFactory.createSocket(host, port); socket.setEnabledProtocols(new String[]{"SSLv3", "TLSv1"});

将服务器参数从-Dhttps.protocols=SSLv3更新为-Dhttps.protocols=TLSv1，SSLv3
故障是否从客户端可见？我以前见过这些类型的错误，它们是正常SSL协商的一部分，也就是说，从用户的角度来看是“有效的”。在Java 6中，客户机hello返回到SSLv2，而在Java 7中，它似乎是通过TLSv1执行的。我相信Java 6下的JSSE并不正式支持SSL V2，但我需要研究一下，使用“openssl s_客户端-连接服务器名：443”，您可以调试服务器支持的协议，并通过强制标志执行测试，如
ssl2
，
ssl2
，检查@Taylor yes在Java 6中每次请求失败，而且连接没有成功。@BGR是的，我已经确认它只支持
tls1
和
ssl3
，我想这是意料之中的。现在我正在研究如何使Java6不使用SSLv2。我认为这是完全正确的，尽管我不确定如何做到这一点。我正在为平台构建一个
SSLSocketFactory
SSLContext.createSSLEngine（）
生成一个
SSLEngine
，它具有设置（似乎不是删除）协议的方法。但我认为这对SSLSocketFactory没有帮助。
SSLContext
也只允许您请求协议，而不允许禁用任何其他需要（？）的协议。如果你碰巧知道这是怎么回事，请告诉我。获取已启用的协议，删除“SSLv2ClientHello”，并将它们设置为剩余的。不过，我不相信有任何这样的方法。至少我在
SSLContext
或
SSLSocketFactory
上看不到它
SSLEngine
我认为没有帮助，因为该框架将在以后自行开发。将继续查找。@SeanOwen，如果您使用的是
HttpsURLConnection
，则应该可以帮助您设置启用的密码套件。确认
-Dhttps.protocols=TLSv1
在Java 6中起作用。是的，这是很好的证据，而且SSLv2似乎是问题所在。这就引出了我的答案，尽管@EJP认为最好找到一种方法显式关闭SSLv2是正确的。当您想使用两个协议而不是一个协议时，这会导致问题。例如，
SSLv3
和
TLSv1
。如果您尝试连接SSLv3或TLSv1，则此
-Dhttps.protocols=TLSv1，SSLv3
将导致异常。@真的吗？什么例外？为什么？