Java 8 上的 SQL Server JDBC 错误：驱动程序无法使用安全套接字层（SSL）加密建立与 SQL Server 的安全连接

ssl sql-server java linux jdbc

2022-08-31 14:38:54

使用 Microsoft JDBC 驱动程序版本连接到 SQL Server 数据库时，我收到以下错误：

com.microsoft.sqlserver.jdbc.SQLServerException：驱动程序无法通过使用安全套接字层（SSL）加密建立与 SQL Server 的安全连接。错误：“SQL Server 返回了不完整的响应。连接已关闭。ClientConnectionId：98d0b6f4-f3ca-4683-939e-7c0a0fca5931“.

我们最近将应用程序从 Java 6 和 Java 7 升级到 Java 8。所有运行 Java 的系统都运行 SUSE Linux Enterprise Server 11 （x86_64）， VERSION = 11， PATCHLEVEL = 3。

以下是我用我编写的Java程序收集的事实，该程序只是按顺序打开和关闭1，000个数据库连接。

大约5%-10%的时间会丢弃此错误的连接。错误不会在每个连接上发生。
此问题仅出现在 Java 8 上。我在Java 7上运行了相同的程序，但问题不可重现。这与我们在升级前的生产经验是一致的。在生产环境中，我们在 Java 7 下运行没有问题。
该问题不会发生在我们所有运行Java 8的Linux服务器上，它只发生在其中一些服务器上。这让我感到困惑，但是当我在不同的Linux实例上对相同版本的Linux JVM（1.8.0_60，64位）运行相同的测试程序时，问题不会发生在其中一个Linux实例上，但问题确实发生在其他实例上。Linux 实例运行相同版本的 SUSE，并且处于相同的修补程序级别。
连接到 SQL Server 2008 和 SQL Server 2014 服务器/数据库时会出现此问题。
无论我是使用 SQL Server JDBC 驱动程序的 4.0 版本还是更新的 4.1 版本的驱动程序，都会出现此问题。

与网络上的其他观察相比，我的观察结果的独特之处在于，尽管问题只发生在Java 8上，但我无法让问题发生在运行相同Java 8 JVM的看似相同的Linux服务器上。其他人在早期版本的Java上也看到了这个问题，但这不是我们的经验。

我们非常感谢您可能有的任何意见，建议或观察。

答案 1

您的网址应该如下所示，并添加sql sqljdbc42.jar。这将解决您的问题

url = "jdbc:sqlserver://" +serverName + ":1433;DatabaseName=" + dbName + ";encrypt=true;trustServerCertificate=true;

答案 2

我在 Linux 实例上的 Java 8 JVM 中打开了 SSL 日志记录，这再现了问题。使用打开 SSL 日志记录。这揭示了一些有用的信息。-Djavax.net.debug=ssl:handshake:verbose

我们在生产中使用并已被证明对我们有用的解决方法是在JVM上设置此参数：

 -Djdk.tls.client.protocols=TLSv1

如果您想了解更多详细信息，请继续阅读。

在可以重现问题的服务器上（同样，只有5-10%的时间），我观察到以下内容：

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 195
main, READ: TLSv1.2 Handshake, length = 1130
*** ServerHello, TLSv1.2
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256]
** TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
*** Diffie-Hellman ServerKeyExchange
--- 8<-- SNIP -----
*** ServerHelloDone
*** ClientKeyExchange, DH
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 133
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 108, 116, 29, 115, 13, 26, 154, 198, 17, 125, 114, 166 }
***
main, WRITE: TLSv1.2 Handshake, length = 40
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT:  warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
main, waiting for close_notify or alert: state 5
main, received EOFException: ignored
main, called closeInternal(false)
main, close invoked again; state = 5
main, handling exception: java.io.IOException: SQL Server returned an incomplete response. The connection has been closed. ClientConnectionId:12a722b3-d61d-4ce4-8319-af049a0a4415

请注意，TLSv1.2 由数据库服务器选择并用于此交换。我观察到，当有问题的Linux服务的连接失败时，TLSv1.2始终是选择的级别。但是，使用 TLSv1.2 时，连接并不总是失败。他们只有5-10%的时间失败。

现在，这是来自没有问题的服务器的交换。其他一切都是平等的。即，连接到相同的数据库，相同版本的JVM（Java 1.8.0_60），相同的JDBC驱动程序等。请注意，此处，TLSv1 是由数据库服务器选择的，而不是像故障服务器那样选择 TLSv1.2。

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 207
main, READ: TLSv1 Handshake, length = 604
*** ServerHello, TLSv1
--- 8<-- SNIP -----
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_RSA_WITH_AES_128_CBC_SHA]
** TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
***
*** ServerHelloDone
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1
--- 8<-- SNIP -----
main, WRITE: TLSv1 Handshake, length = 134
main, WRITE: TLSv1 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 26, 155, 166, 89, 229, 193, 126, 39, 103, 206, 126, 21 }
***
main, WRITE: TLSv1 Handshake, length = 48
main, READ: TLSv1 Change Cipher Spec, length = 1
main, READ: TLSv1 Handshake, length = 48
*** Finished

因此，当在 Linux JVM 和 SQL Server 之间协商 TLSv1 时，连接始终是成功的。协商 TLSv1.2 时，我们会得到零星的连接故障。

（注意：Java 7 （1.7.0_51）总是协商 TLSv1，这就是为什么使用 Java 7 JVM 时从未出现过这个问题的原因。

我们仍然有悬而未决的问题是：