java - SOAP 适配器的 SSL 握手失败-6ren

java - SOAP 适配器的 SSL 握手失败

转载作者：太空宇宙更新时间：2023-11-03 14:36:55

24

4

我们有一个第三方应用程序，它有一个使用 Jetty 6.1 构建的 soap 适配器。应用程序通过 SOAP 适配器通过 SSL 从 .Net 应用程序获取入站请求。

最近 SSL 证书过期，安全团队已将新证书添加到信任库。

问题是 Jetty 获取了所有证书的列表，但只使用了第一个(已过期)并且握手失败。

以下是一些日志片段。几行被标记为 xxxxxxxxx 以隐藏文本。

这显示了 3 个别名，第一个已于 2017 年 10 月 8 日过期。

JsseJCE:  Using MessageDigest MD5 from provider IBMJCE version 1.2
JsseJCE:  Using MessageDigest SHA from provider IBMJCE version 1.2
%% Initialized:  [Session-1, SSL_NULL_WITH_NULL_NULL]
ssl: ServerHandshaker.setupPrivateKeyAndChain RSA
matching alias: 44240-xxxx-xxxxx-xxxxxx-org
matching alias: 111824-xxxx-xxxxx-xxxxxx-org
matching alias: 109491-xxxx-xxxxx-xxxxxx-org
ssl: ServerHandshaker.setupPrivateKeyAndChain, chooseEngineServerAlias 44240-xxxx-xxxxx-xxxxxx-org
ssl: ServerHandshaker.setupPrivateKeyAndChain, return true

**%% Negotiating:  [Session-1, SSL_RSA_WITH_AES_128_CBC_SHA]
*** ServerHello, TLSv1
RandomCookie:  GMT: 1491745993 bytes = { 73, 37, 191, 131, 31, 235, 131, 242, 96, 119, 124, 73, 57, 221, 38, 112, 19, 216, 144, 221, 184, 25, 181, 210, 229, 39, 62, 50 }
Session ID:  {89, 234, 61, 201, 31, 215, 166, 2, 132, 100, 188, 234, 63, 57, 167, 114, 199, 190, 119, 228, 154, 176, 153, 236, 115, 222, 35, 98, 53, 182, 88, 140}
Cipher Suite: SSL_RSA_WITH_AES_128_CBC_SHA
Compression Method: 0
Extension renegotiation_info, ri_length: 0, ri_connection_data: { null }
***
Cipher suite:  SSL_RSA_WITH_AES_128_CBC_SHA
*** Certificate chain
chain [0] = [
[
  Version: V3
  Subject: CN=xxxx-xxxxx-xxxxxx.org, OU=TreSOAP Server Test-PROD Primary, O=XXXX-XXXXX - internal dmz, L=Saint Louis, ST=Missouri, C=US
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5

  Key:  IBMPKCS11Impl RSA Public Key: 
 Token: false
 Private: false
 Label: IBMPKCS1162112826090763885165327
 Modifiable: true
 KeyType: 0
 ID: 
 Start Date: Wed Dec 31 17:59:59 CST 1969
 End Date: Wed Dec 31 17:59:59 CST 1969
 Derive: false
 Local: false
 Subject: 
 Encrypt: true
 Verify: true
 VerifyRecover: true
 Wrap: true
 modulus: 26606850225087850589932908027067524318268268224826270839465320725092268136382373728617246685378243753417909514269416692823470338958771068354701078301334195882971493513282715502700026787422539437203244486983379743077668035555448903482759728453372918271687510462097996374206565621965829077017536736170426765991639165149047482746818974654077122772442139310513169191565788646178636478714837968871155118100289147723685748486274263964655017819372517057114974155848311538134591086912352063631149931407513232621741060410510212626457131410022996185588768438731050436344397255226489472133617477053078911021189068729861786067773
 modulus bits: 2048
 public exponent: 65537
  Validity: [From: Wed Oct 09 12:59:36 CDT 2013,
               To: Sun Oct 08 12:49:19 CDT 2017]
  Issuer: CN=MC Internal Zone Applications sub CA, OU=Global Information Security, O=XXXX, DC=xxxx, DC=com
  SerialNumber: [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx]

Certificate Extensions: 6
[1]: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: cf 53 c3 63 61 83 f7 cd  4c 99 6a af 72 16 63 ee  .S.ca...L.j.r.c.
0010: 63 48 23 2c                                        cH..
]

[CN=Internal Zone Applications root CA, OU=Global Information Security, O=XXXX XXXX, DC=xxxx, DC=com]
SerialNumber: [xxxxxxxxxxxxxxxxxxxxxxxxxxx]
]

[2]: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
CA:false
PathLen: undefined
]

[3]: ObjectId: 2.5.29.37 Criticality=false
ExtKeyUsage [
    1.3.6.1.5.5.7.3.1   1.3.6.1.5.5.7.3.2]

[4]: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  DigitalSignature
  Key_Encipherment
]

[5]: ObjectId: 2.16.840.1.113730.1.1 Criticality=false
NetscapeCertType [
   SSL client
   SSL server
]

[6]: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 8b 74 8c b4 9e 21 d6 dd  86 f0 51 5f 77 c0 21 52  .t........Q.w..R
0010: 78 ab a8 2a                                        x...
]
]

]
  Algorithm: [SHA1withRSA]
  Signature:
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

]
***
*** ServerHelloDone
301601274@qtp-1542806517-9, WRITE: TLSv1 Handshake, length = 1443
301601274@qtp-1542806517-9, READ: TLSv1 Alert, length = 2
301601274@qtp-1542806517-9, RECV TLSv1 ALERT:  fatal, handshake_failure
301601274@qtp-1542806517-9, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLException: Received fatal alert: handshake_failure
301601274@qtp-1542806517-9, fatal: engine already closed.  Rethrowing javax.net.ssl.SSLException: Received fatal alert: handshake_failure**

需要专家的帮助来找出问题所在。

最佳答案

问题出在应用程序中被覆盖以支持 HSM 的 SslSelectChannelConnector，但是 jetty 版本已更新，支持新版本 jetty 的更改未包含在覆盖类中。

关于java - SOAP 适配器的 SSL 握手失败，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46923825/

24

4

0

文章推荐： python - Pandas len 根据给定条件

文章推荐： python - 如何将过滤后的字符串附加到 Python 中的新列表？

文章推荐： java - 相互认证 (SSL) 设置 Java 堆栈(生产云)

soap - 无效的 SOAP 消息或 SOAP 版本不匹配
我正在使用 SOA 客户端 Firefox 插件向某些 ONVIF 摄像机发送 SOAP 请求。您将在下面看到“GetServices”请求。它对于一台相机工作正常，但对于另一台(AXIS 相机)我收
soap - 无效的 SOAP 消息或 SOAP 版本不匹配
我正在使用 SOA 客户端 Firefox 插件向某些 ONVIF 摄像机发送 SOAP 请求。您将在下面看到“GetServices”请求。它对于一台相机工作正常，但对于另一台(AXIS 相机)我收
soap - 如何使用Fiddler2查看ASMX SOAP？
有谁知道 Fiddler 是否可以显示 ASMX Web 服务的原始 SOAP 消息？我正在使用 Fiddler2 和 Storm 测试一个简单的 Web 服务，结果各不相同(Fiddler 显示纯
soap - SOAP 是否支持取消调用？
使用 SOAP 协议(protocol)时，是否可以使用 SOAP 取消挂起的远程函数调用？我看到三种不同的情况: A) 向需要很长时间才能完成的服务发出请求。例如，当复制包含大量文件的目录时，可以
soap - SOAP 现在是遗留技术吗？
人们还在写吗SOAP services还是已经通过了它的技术architectural shelf life ?人们是否回归二进制格式？最佳答案 SOAP 的替代方案不是二进制格式。我认为您看到了
soap - SOAP 使用什么端口号？
SOAP 协议(protocol)工作的默认端口号是多少？最佳答案没有“SOAP 协议(protocol)”之类的东西。 SOAP 是一种 XML 模式。但是，它通常通过 HTTP(端口 80)
php SOAP 信封命名空间
之间有什么区别和以及如何在它们之间切换？如何将响应从具有定义的命名空间 "http://schemas.xmlsoap.org/soap/envelope/" ，它的特殊含义是底层 XML

soap - 当发生 mule-soap 异常时，如何发送我自己的故障代码和故障字符串而不是通用的 soap 故障消息？
我正在从 Mule 进行 SOAP 调用。我正在使用 default-exception-strategy 来捕获异常。发生异常时，如何发送我自己的故障代码和故障字符串而不是通用的 soap 故障消息
soap - 在 Powershell 中使用 Soap complexType 来保持 Soap 服务的热度
我正在编写一个 powershell 脚本，它将每 10 分钟 ping 一次soap web 服务，以使其保持活跃状态，从而提高性能。我们已经在 IIS 中尝试了多种技术，应用程序池空闲超时和只
soap - 使用经典 ASP 发送 'application/soap+xml' SOAP 请求
如有任何帮助，我们将不胜感激；我已经研究了几天了。下面是我目前得到的代码；不幸的是，当我运行它时出现 HTTP 415 错误；无法处理消息，因为内容类型为“text/xml； charset=UT
soap - 如何使用 JAX-WS 将 SOAP header 添加到 SOAP 请求？
我们需要使用其他团队开发的网络服务。使用 JAX-WS用于生成网络服务。我们正在使用 wsimport 生成客户端 stub 。问题是我需要将以下信息作为 header 与 SOAP 正文一起传递:
soap - 真正的 SOAP 互操作性是神话吗？
我的意思是，真正的互操作:从 Java 到 .NET，从 PHP 到 Java，等等。我之所以这样问，是因为我们的权力希望我们使用 SOAP Web 服务实现面向公众的 API，并且我试图强调支持
soap - CXF传出拦截器得到的 SOAP 响应正文始终为空吗？
我写了一个拦截器进行测试。但是我在Interceptor中获得的Soap消息正文始终为null。我的Cxf是Apache-CXF-2.4.0 bean.xml是这样的:
soap - 萨翁 SOAP 属性
我正在尝试查询货币的 netsuite api。以下soap请求在SOAP UI客户端中对我有用。但是我很难尝试使用 ruby 的 savon gem 0.9.7 版进行相同的工作。
soap - Mule SOAP 客户端包装器作为参数而不是对象数组
我创建了一个示例 Mule 流，首先根据 http://www.mulesoft.org/documentation/display/current/Consuming+Web+Services+wi
soap - node-soap 将命名空间添加到信封
我正在尝试使用此 SOAP 服务:http://testws.truckstop.com:8080/v13/Posting/LoadPosting.svc?singleWsdl使用 node-soap
soap - 如何检查 SOAP 响应是否为空？
我有几个 SoapUI 测试步骤，其中响应返回空(即“-> 空/空响应”)，这正是我所期望的。如何断言对测试步骤请求的响应为空？到目前为止，我已经尝试了以下但没有运气: 审查可用的断言，无需定制
soap - 手卷 SOAP 请求
我正在尝试构建一个手动 HTTP 请求，以便从我认为是相当简单的 SOAP Web 服务调用中返回响应。但是，我无法正确构建请求，并且没有得到我期望的响应。适用wsdl声明: wsdl 目标命名空间
soap - 使用失眠症来打 SOAP 电话
我正在尝试使用 Insomnia 调用 SOAP 电话 - 特别是试图让帖子成功。我将 URL 定义为端点，并将正文类型作为带有 SOAP 内容(信封、标题、正文)的 XML。我在标题中定义了用户 I
soap - 我对 SOAP 命名空间感到困惑
我正在学习 SOAP 实现，并且对于 SOAP 1.2 信封的适当 namespace URI 感到有些困惑。 w3c specification for SOAP指的是“http://www.w3.

首页

博学

6Ren·AI

商城

java - SOAP 适配器的 SSL 握手失败