Java 7(充当客户机)SSL 握手失败,在 Java 6 中工作的密钥库和信任库

2022-09-04 21:41:49

我正在做一个JBoss AS 5.1到7.4,以及Java 6到7的迁移,并得到一个握手失败。

密钥库和信任库是我们多年来在 Java 6 中成功使用的密钥库和信任库。

我已经编写了一些测试来缩小问题的范围,它绝对不是JBoss,而是Java 7。

打开SSL日志记录后,我得到这个:

17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) %% Invalidated:  [Session-2, SSL_RSA_WITH_RC4_128_SHA]
17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, SEND TLSv1 ALERT:  fatal, description = certificate_unknown
17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, WRITE: TLSv1 Alert, length = 2
17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called closeSocket()
17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, handling exception: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
17:44:30,041 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called close()
17:44:30,042 INFO  [stdout] (http-/192.168.147.20:8080-120) http-/192.168.147.20:8080-120, called closeInternal(true)

有一些线程涉及此(或类似)问题,人们建议使用不同的参数重新创建证书或信任库。我宁愿不走这条路,因为我最近尝试为同一Web服务的不同帐户创建更多这样的密钥库和信任库,但没有成功。

由于我们一直在生产中使用这些旧的(密钥库和信任库)与Java 6,如果可能的话,我想保留它们。

看起来问题可能是由于Java 7在检查信任库证书链方面更加严格造成的?

是否可以设置一些标志来放松检查,使其表现得像Java 6一样?

我不能100%确定的一件事是如何解释失败消息:我认为它告诉我这是我的计算机(而不是删除服务器),它不满意远程计算机是安全的。这是对的吗?

任何帮助/想法赞赏!

==========================================================

按照建议,将访问 WS URL 时从 firefox 导出的 PEM(带链)添加到信任库。这不会使它成为握手,但会稍微改变失败。

***
%% Invalidated:  [Session-1, SSL_RSA_WITH_RC4_128_SHA]
main, SEND TLSv1 ALERT:  fatal, description = certificate_unknown
main, WRITE: TLSv1 Alert, length = 2
[Raw write]: length = 7
0000: 15 03 01 00 02 02 2E                               .......
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1884)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
    at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
    at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
    at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)

==============================================================

此外,正如其他线程中所建议的那样,我编写了另一个测试,该测试使用不验证证书链的TrustManager,并使用我的原始信任库运行该测试。

此测试能够连接,因此表明我的机器对远程机器的验证是唯一的问题,并且我的密钥库没有问题。

但是,我不能将此方法用于我们实际的Web服务客户端,因为它使用Sun RPC库,并且连接发生在其代码深处的某个地方,因此我无法触摸它。


答案 1

首先,是的,异常表明计算机中的 Java SSL 模块不信任从服务器收到的身份证明(证书)。

是的,Java 7会进行更严格的检查。可能还有更多,但我确信的是,它不允许子证书的有效期在父/CA证书之后结束(或在此之前开始,但实际上不会发生)。请参阅PKIX路径没有与Windows环境中的任何信任锚错误链接,该错误表明这是一个错误并将得到修复。

检查:如果服务器是Web服务器,您可以使用浏览器访问任何(无害的)页面,并使用它来查看证书链。否则,运行并在连接后输入EOF(Unix ^D,Windows ^Z),然后将每个要块放在不同的文件中,并按顺序在每个文件上运行。openssl s_client -connect $host:443 -showcerts----BEGIN CERT...-----END CERT...openssl x509 -noout -subject -issuer -startdate -enddate

要修复:如果这是问题所在,除了关闭所有证书检查(从而失去SSL的一些安全性)之外,似乎没有任何方法可以直接关闭它,但是将服务器实体证书添加到您的信任库应该有效,因为这样Java不会验证链。(您不需要删除已经存在的内容,只需使用尚未使用的别名即可。祝你好运。


答案 2