Java 使用TLSv1.2的Apache HttpClient握手失败
首先,我将解释这个场景 我有一个WSO2 ESB-4.6.0(使用Apache的HttpClient)运行于Java 使用TLSv1.2的Apache HttpClient握手失败,java,ssl,wso2,wso2esb,Java,Ssl,Wso2,Wso2esb,首先,我将解释这个场景 我有一个WSO2 ESB-4.6.0(使用Apache的HttpClient)运行于jdk1.7.079,我的目标是调用一个只接受TLSv1.2协议的外部安全服务,而不将Java更新到版本8。 外部服务器指令包括: Supported versions: TLSv1.2 Deflate compression: no Supported cipher suites (ORDER IS NOT SIGNIFICANT): TLSv1.2 RSA_WITH_3D
jdk1.7.079
,我的目标是调用一个只接受TLSv1.2
协议的外部安全服务,而不将Java更新到版本8。外部服务器指令包括:
Supported versions: TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
TLSv1.2
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_256_CBC_SHA
DHE_RSA_WITH_AES_256_CBC_SHA
RSA_WITH_AES_128_CBC_SHA256
RSA_WITH_AES_256_CBC_SHA256
RSA_WITH_CAMELLIA_128_CBC_SHA
DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA256
DHE_RSA_WITH_AES_256_CBC_SHA256
RSA_WITH_CAMELLIA_256_CBC_SHA
DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
----------------------
Minimal encryption strength: strong encryption (96-bit or more)
Achievable encryption strength: strong encryption (96-bit or more)
BEAST status: protected
CRIME status: protected
因此,构建并调用一个简单的代理(该代理具有指向此服务的端点),将导致:
Using SSLEngineImpl.
Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
HTTPS-Sender I/O dispatcher-1, fatal error: 40: Couldn't kickstart handshaking
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
HTTPS-Sender I/O dispatcher-1, SEND TLSv1 ALERT: fatal, description = handshake_failure
HTTPS-Sender I/O dispatcher-1, WRITE: TLSv1 Alert, length = 2
[2016-02-25 22:15:12,689] ERROR - TargetHandler I/O error: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at sun.security.ssl.Handshaker.activate(Handshaker.java:470)
at sun.security.ssl.SSLEngineImpl.kickstartHandshake(SSLEngineImpl.java:714)
at sun.security.ssl.SSLEngineImpl.beginHandshake(SSLEngineImpl.java:740)
at org.apache.http.impl.nio.reactor.SSLIOSession.bind(SSLIOSession.java:141)
at org.apache.http.impl.nio.ssl.SSLClientIOEventDispatch.connected(SSLClientIOEventDispatch.java:205)
at org.apache.http.impl.nio.reactor.BaseIOReactor.sessionCreated(BaseIOReactor.java:250)
at org.apache.http.impl.nio.reactor.AbstractIOReactor.processNewChannels(AbstractIOReactor.java:425)
at org.apache.http.impl.nio.reactor.AbstractIOReactor.execute(AbstractIOReactor.java:289)
at org.apache.http.impl.nio.reactor.BaseIOReactor.execute(BaseIOReactor.java:104)
at org.apache.http.impl.nio.reactor.AbstractMultiworkerIOReactor$Worker.run(AbstractMultiworkerIOReactor.java:542)
at java.lang.Thread.run(Thread.java:745)
在这一点上,我的第一个想法是找到一种方法来“配置”Java7以使用它。因此,我确实使用Eclipse(使用javax.xml.soap.SOAPConnectionFactory
)构建了一个简单的webservice客户机类,并使用ESB使用的相同JVM运行它。正如所料,同样的错误但是,我编辑了
jre/lib/security/java.security
文件,找到了使调用工作的以下参数:
java MyClientClass -Dhttps.protocols=TLSv1.2 -Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
在所有这些之后,我认为应用于ESB的相同参数应该可以工作。但是上面的两个参数和下面的其他参数,在许多不同的组合中,并没有实现这一点,与以前有相同的例外
./wso2server.sh -Ddeployment.security.SSLv3=false \
-Ddeployment.security.TLSv1=false \
-Ddeployment.security.TLSv1.1=false \
-Ddeployment.security.TLSv1.2=true \
-Dhttps.protocols=TLSv1.2 \
-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
为什么具有相同JVM和相同参数的ESB不工作,而MyClientClass
?问题出在Apache的http核心实现中(作为堆栈跟踪点)?我犯了一些错误,还是忽略了这些参数
HttpCore版本是4.1.3。HttpsUrlConnection使用了
HttpsUrlConnection
的https.protocols
属性,但从stacktrace看,ESB代码使用的是Apache的HttpClient
(它不遵守https.protocols
);有关讨论,请参阅本文:我明白了。因此,Apache客户端的“替代方案”仍然未知。使用Java7,是的。如果您可以升级到Java 8,那么您将能够使用“jdk.tls.client.protocols”系统属性。我已经用Java 8进行了测试,它可以工作,但它也会导致ESB的其他组件出现问题。这已被确定为错误[1],并在ESB 4.9.0中得到修复。请与wso2支持团队联系,他们可能有ESB 4.6.0的修补程序。或者尝试升级到Java8,并在java.security中设置以下jdk.tls.client.protocols=TLSv1.2。[1]