我在通过 SSL 联系网络服务时遇到一个特殊问题。我正在 Apache Tomcat 实例上运行我的应用程序;我在不同的服务器上有多个实例。在我的测试服务器上,我可以毫无问题地调用网络服务,但在我的其他服务器之一上,似乎存在差异。 Web 服务调用失败并显示以下输出:
%% No cached client session
*** ClientHello, TLSv1
RandomCookie: GMT: 1371869704 bytes = { 252, 237, 86, 149, 133, 159, 4, 122, 234, 40, 80, 158, 223, 243, 249, 186, 196, 191, 182, 7, 189, 9, 210, 112, 6, 89, 28, 182 }
Session ID: {}
Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_
ECDH_RSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_DES_CB
C_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA, SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5, SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA]
Compression Methods: { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2,
sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
***
ajp-bio-8309-exec-38, WRITE: TLSv1 Handshake, length = 175
**ajp-bio-8309-exec-38, WRITE: SSLv2 client hello message, length = 170**
ajp-bio-8309-exec-38, handling exception: java.net.SocketException: Connection reset
ajp-bio-8309-exec-38, SEND TLSv1 ALERT: fatal, description = unexpected_message
ajp-bio-8309-exec-38, WRITE: TLSv1 Alert, length = 2
ajp-bio-8309-exec-38, Exception sending alert: java.net.SocketException: Broken pipe
ajp-bio-8309-exec-38, called closeSocket()
ajp-bio-8309-exec-38, called close()
ajp-bio-8309-exec-38, called closeInternal(true)
我已经生成了带有适当证书的密钥库。
像这样:
keytool -import -file mysite.cer -keystore mykeystore
我正在将其导入到我的密钥库中,正如我所说,它适用于我的一些实例。
我无法在我的实例之间发现任何显着差异,但不知怎的,当涉及到 SSL 请求时,它们的行为有所不同。
原来问题是由Web服务端的防火墙引起的。结果我使用的提供商对于他们的测试环境有不同的政策;测试环境拒绝了我通过 https 443 的请求,而他们的生产服务器则没有。奇怪。
你能解决这个问题吗? 我有类似的问题。我连接到同一服务器。 首先,我连接 CertA.pfx,一切正常。 但是,当我尝试第二次连接到同一服务器但使用 CertB.pfx 时,连接不起作用,因为 JVM 正在使用 CertA.pfx。
如果我重新启动 JVM 并首先使用 CertB 进行连接,则可以正常工作,但是当我尝试使用 CertA.pfx 进行连接时,问题是相同的。
JL