带APR连接器的Tomcat正在断开Java客户端与SSL的连接_Java_Tomcat_Ssl_Apr

带APR连接器的Tomcat正在断开Java客户端与SSL的连接

java tomcat ssl

带APR连接器的Tomcat正在断开Java客户端与SSL的连接,java,tomcat,ssl,apr,Java,Tomcat,Ssl,Apr,我正在尝试将SSL与Tomcat和APR连接器一起使用。我可以更改服务器，但不能更改现有的Java客户端出于某种原因，每当Java客户机使用SSL连接到Tomcat服务器时，它都无法连接-服务器会重置连接。但是，完全相同的Java代码可以通过SSL连接到Apache托管的不同端口上的相同服务器。此外，非Java代码（如curl）可以连接到Tomcat SSL连接通过强制Java客户机使用TLSv1协议（-Dhttps.protocols=TLSv1），我实现了这一点。但是，这不是一个实用的解

我正在尝试将SSL与Tomcat和APR连接器一起使用。我可以更改服务器，但不能更改现有的Java客户端

出于某种原因，每当Java客户机使用SSL连接到Tomcat服务器时，它都无法连接-服务器会重置连接。但是，完全相同的Java代码可以通过SSL连接到Apache托管的不同端口上的相同服务器。此外，非Java代码（如curl）可以连接到Tomcat SSL连接

通过强制Java客户机使用TLSv1协议（-Dhttps.protocols=TLSv1），我实现了这一点。但是，这不是一个实用的解决方案，因为我现在无法为我们的Java客户机发布更新

由于这在服务器上与Apache配合使用，因此在我看来，我应该能够在服务器上进行某种配置更改，以便也与Tomcat配合使用，而无需更改Java客户端

总之： Java连接到Tomcat SSL=失败

curl连接到Tomcat SSL=良好

Java连接到Apache SSL=良好

curl连接到apachessl=good

下面是一些示例Java代码，说明了这个问题。我在MacOSX上运行Java6

public class SSLConnectTest {
    public static void main(String[] args) throws Exception {
        System.setProperty( "javax.net.debug", "all" );

        testConnection( "https://secure2.360works.com" ); //Apache running SSL. This works.
        testConnection( "https://secure2.360works.com:8443/" ); //Tomcat running SSL and APR. This fails.
    }

    private static void testConnection( String urlString ) throws IOException {
        new URL( urlString ).openStream().close();
    }
}

以下是SSL握手中发生的情况：

trigger seeding of SecureRandom
done seeding SecureRandom
Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1
RandomCookie:  GMT: 1377233856 bytes = { 69, 128, 29, 114, 252, 186, 13, 192, 212, 243, 179, 208, 124, 196, 220, 137, 23, 124, 30, 226, 98, 148, 243, 6, 188, 230, 109, 119 }
Session ID:  {}
Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_DES_CBC_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA, SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5, SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
***
main, WRITE: TLSv1 Handshake, length = 81
main, WRITE: SSLv2 client hello message, length = 110
main, handling exception: java.net.SocketException: Connection reset
main, SEND TLSv1 ALERT:  fatal, description = unexpected_message
main, WRITE: TLSv1 Alert, length = 2
main, Exception sending alert: java.net.SocketException: Broken pipe
main, called closeSocket()
Disconnected from the target VM, address: '127.0.0.1:62146', transport: 'socket'
Exception in thread "main" java.net.SocketException: Connection reset
    at java.net.SocketInputStream.read(SocketInputStream.java:168)
    at com.sun.net.ssl.internal.ssl.InputRecord.readFully(InputRecord.java:422)
    at com.sun.net.ssl.internal.ssl.InputRecord.read(InputRecord.java:460)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:863)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1188)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1215)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1199)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:434)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
    at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1172)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:234)
    at java.net.URL.openStream(URL.java:1010)
    at com.prosc.license.client.network.SSLConnectTest.testConnection(SSLConnectTest.java:22)
    at com.prosc.license.client.network.SSLConnectTest.main(SSLConnectTest.java:18)

以下是server.xml中的连接器配置。我希望这里的一些改变能解决这个问题：

<Connector port="8443" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
sslProtocol="SSLv2+TLSv1+SSLv3"
SSLHonorCipherOrder="true"
protocol="org.apache.coyote.http11.Http11AprProtocol"
clientAuth="false" SSLCertificateFile="/etc/apache2/ssl.crt/secure2.360works.com.crt"
SSLCertificateKeyFile="/etc/apache2/ssl.crt/secure2.360works.com.key"
SSLCertificateChainFile="/etc/apache2/ssl.crt/secure2.360works.com.chcrt" />

我假定这是来自Java6环境（除非客户端显式启用了

SSLv2Hello

协议）。您是否尝试过查看客户端在Java 7 JRE上运行时是否能够连接（这是一个很好的例子）

我猜出现这个问题是因为APR连接器可能不喜欢接收SSLv2客户机Hello（它来自Java，实际上不是SSLv2客户机Hello，而是包装成v2的v3，请参阅）

有几个建议可以解决这个问题：

尝试使APR接受SSLv2连接，至少SSLv3或更高级别的连接包装到v2 Hello中。（使用SSLv2不是一个好主意，但是使用SSLv3/TLS的SSLv2Hello应该不会有问题。）
在ApacheTomcat中切换APR以获得纯Java连接器（BIO或NIO，请参阅）。您可能需要将证书和密钥转换为密钥库，但这应该不会太困难，尤其是转换为
```
PKCS12
```
keystore

谢谢您的回复。我已经更新了我的问题，以便在server.xml文件中显示connector元素。我目前正在启用SSLv2、SSLv3和TLSv1（根据文档，这都是受支持的协议）。我不想切换到BIO或NIO，因为我所有的研究表明，对于支持SSL，APR要快得多。我切换到APR的原因是为了提高性能。我在客户机上用Java7对其进行了测试，结果确实有效！但是，我90%的客户机都在Java 6上，所以我仍然在寻找服务器端解决方案来解决他们的问题。我怀疑，与完全失去连接相比，性能可能的微小损失不应该是您最关心的问题。顺便说一句，是否有任何实际的基准来支持您的性能问题（尤其是针对NIO）？我必须承认，我不知道

SSLv2+TLSv1+SSLv3

是否包括SSLv3 ClientHello包装成SSLv2 Hello的情况。

main, WRITE: TLSv1 Handshake, length = 81
main, WRITE: SSLv2 client hello message, length = 110