ssl - OpenSSL s_client 无法通过 APR 连接到 Tomcat 7

Question

我目前正在使用禁用了 SSLv3 的 APR 连接器将我的 Tomcat 服务器升级到 Tomcat 7。这是我的连接器:

<Connector port="8443" maxHttpHeaderSize="8192"
           maxThreads="150"
           enableLookups="false" disableUploadTimeout="true"
           acceptCount="100" scheme="https" secure="true"
           SSLEnabled="true" 
           SSLProtocol="TLSv1"
           SSLCertificateFile="${CP_ROOT}/security/tomcat.crt"
           SSLCertificateKeyFile="${CP_ROOT}/security/tomcat.key" />

一切似乎都在正常工作......例如通过 HTTPS 访问页面可以正确地提供该页面。但是，我们使用的是 F5 负载平衡器，一旦我禁用 SSLv3，配置的运行状况监视器就开始对该节点/端口失败。在 F5 端进行一些故障排除后，我决定尝试使用 OpenSSL 进行诊断:

$ openssl s_client -connect casrept2.tc.columbia.edu:8443/cas/monitor.jsp      
CONNECTED(00000003)
write:errno=54

做同样的事情，但强制使用 TLSv1 (-tls1)，我能够正确连接:

$ openssl s_client -connect casrept2.tc.columbia.edu:8443/cas/monitor.jsp -tls1
CONNECTED(00000003)
... cert chain, etc, etc

我想知道这是否是导致运行状况监视器失败的原因。不管怎样，我很好奇为什么我需要特别强制 -tls1 才能工作。我会假设它应该自动协商正确的协议(protocol)？

Answer 1

s_client 使用的是什么版本的 openssl？如果是 0.9.8 系列，则默认协议(protocol) ssl2,ssl3,tls1(.0) 要求它使用 SSL2 格式 ClientHello(但内容可以协商到 tls1.0)。 Tomcat/APR 中指定了 tls1-only(而不是默认的自动检测)的 openssl 服务器将协商或适本地返回警报对于 SSL3+ 格式，但对于 SSL2 格式它只是关闭 TCP连接——至少在 Windows 上，它使用 RST 会“异常”地执行此操作，这会导致 s_client 出现系统调用错误并显示您看到的消息。 (虽然 54 是一个 errno 值，但我不记得在 RST 中看到过；你能说说是什么操作系统吗？)

通过指定 s_client -tls1，您可以使其使用包含版本 3.1 = TLS1.0 的 SSL3+ 格式并且它可以工作。如果您改为使用 -ssl3，它无法协商，但它确实会得到更具体的 alert handshake failure 而不仅仅是 TCP 错误。如果您使用使用 SSL3+ 格式并协商 TLS1.0 的 -no_ssl2，尽管这里不如 -tls1 方便。

如果你为 s_client 使用 openssl 1.0.0 或 1.0.1 系列，它们应该默认为最小 SSL3 和(因此)SSL3+ hello 格式和工作，除非在构建过程中做了一些不寻常的事情.

我不知道 F5 监视器在这里能做什么——或者能做什么——但如果它尝试 SSL2 格式 hello 理论上是——或者过去是——最大互操作性，我不会感到惊讶.如果是这样，那将导致连接失败，这可以理解为服务器出现问题。您可以在您的服务器上(或附近)放置诸如 www.wireshark.org 或类似内容的跟踪，查看 F5 发送的确切内容，并确认您的服务器以 RST 响应。