尝试连接到https web服务时收到“致命警报:handshake_failure”
问题描述:
我想构建一个Spring 3.5(v 3.1.1.RELEASE)应用程序(在Java 1.6上)与HTTPS Web服务进行通信,该服务正在使用我创建的自签名证书。我对如何建立我的信任库和基石感到困惑。用我的自签名的证书,我生成使用下面的命令的基石......尝试连接到https web服务时收到“致命警报:handshake_failure”
openssl pkcs12 -export -in server.crt -inkey server.key \
-out server.p12 -name myalias
keytool -importkeystore -deststorepass password -destkeypass password -deststoretype jks -destkeystore server.keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass password -alias myalias
然后我配置我的Spring应用程序是这样的...
<http-conf:conduit name="*.http-conduit">
<http-conf:tlsClientParameters secureSocketProtocol="SSL" disableCNCheck="true">
<sec:trustManagers>
<sec:keyStore type="JKS" password="password" resource="server.keystore" />
</sec:trustManagers>
<sec:keyManagers keyPassword="password">
<sec:keyStore type="pkcs12" password="password" resource="server.p12" />
</sec:keyManagers>
</http-conf:tlsClientParameters>
</http-conf:conduit>
<jaxws:client id="orgWebServiceClient"
serviceClass="org.mainco.bsorg.OrganizationWebService" address="${wsdl.url}" />
但是当我跑我的申请,我得到下面的错误。我错过了什么?
Caused by: javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking https://nonprod.cbapis.org/qa2/bsorg/OrganizationService: Received fatal alert: handshake_failure
at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) [classes.jar:1.6.0_45]
at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:39) [classes.jar:1.6.0 _45]
at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:27) [classes.jar:1.6.0_45]
at java.lang.reflect.Constructor.newInstance(Constructor.java:513) [classes.jar:1.6.0_45]
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.mapException(HTTPConduit.java:1458) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1443) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:659) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:62) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:262) [cxf-api-2.6.0.jar:2.6.0 ]
at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:532) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:464) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:367) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:320) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.frontend.ClientProxy.invokeSync(ClientProxy.java:89) [cxf-rt-frontend-simple-2.6.0.jar:2.6.0]
at org.apache.cxf.jaxws.JaxWsClientProxy.invoke(JaxWsClientProxy.java:134) [cxf-rt-frontend-jaxws-2.6.0.jar:2.6.0]
... 5 more
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:136) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1822) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1004) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1188) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1215) [jsse.jar:1.6]
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1199) [jsse.jar:1.6]
at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:434) [jsse.jar:1.6]
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166) [jsse.jar:1.6]
at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1014) [classes.jar:1.6.0_45]
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:230) [jsse.jar:1.6]
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleHeadersTrustCaching(HTTPConduit.java:1395) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.onFirstWrite(HTTPConduit.java:1337) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
at org.apache.cxf.io.AbstractWrappedOutputStream.write(AbstractWrappedOutputStream.java:42) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.io.AbstractThresholdOutputStream.write(AbstractThresholdOutputStream.java:69) [cxf-api-2.6.0.jar:2.6.0]
at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1415) [cxf-rt-transports-http-2.6.0.jar:2.6.0]
... 15 more
答
这里有件事情你需要检查的顺序:
- 检查使用
keytool -list你的密钥仓库项。请参阅this文章语法 - 检查是否有一组通用的客户端和服务器之间支持的密码套件的
- 最后,在cxf documentation
答
如果你不是做双向SSL认证的意义,您的服务器不关心客户端是谁,因此并不需要检查和验证客户端证书;那么在这种情况下,客户端所需的只是一个包含受信任的服务器证书列表的信任库。在你的情况下,你的客户端信任库只包含自签名服务器证书,以及所有。在java中通常使用.jks格式的信任库。如果你设法生成一个信任库,那么你就设置好了。在服务器端,您不必担心信任库,但需要配置服务器以拥有有效的服务器证书。
在双向SSL身份验证中,您需要在客户端和服务器端均配置的密钥库和信任库。客户端信任库将保持与单向身份验证相同。服务器信任库应包含自签名客户端证书。客户端和服务器都应该配置为在SSL握手期间使用它们各自的证书。在握手期间,双方通过他们的信任库核对彼此的证书并建立对方的身份。一旦身份确立,你应该能够建立连接。
对于生成商店,我建议使用一个名为Portecle的工具,它可以非常方便。
+0
“那么在那种情况下,您在客户端所需的只是一个包含受信任服务器证书列表的信任存储”如果您正在根据用户输入动态地访问https服务器,该怎么办?所以你提前不知道服务器。在这种情况下你会做什么? – Rose
嗨戴夫,我们需要一些更多的信息。那么你的HTTPS Web服务是在什么应用服务器Tomcat上运行的?您的Spring应用程序是运行在同一个物理服务器上还是单独的服务器上? – Hiro2k
您可以将此添加到JVM参数: '-Djavax.net.debug = ssl,handshake,failure'并发布日志的结果? – Avi
另外,你可以看看我有类似的问题,我有同样的问题,我发布了一切,我检查了很多调查后,导致我的答案:http://stackoverflow.com/questions/15544116/sslhandshakeexception -received-fatal-alert-handshake-failure-when-setting-ciph – Avi