java - 握手失败/没有共同的密码套件 - SymmetricDS 3.1.5

Question

我正在从 SymmetricDS (SDS) 2.5.13 升级到 3.1.5。 我在 SDS 2.5.13 下配置了 TLS/HTTPS 并按预期工作。但是，使用完全相同的证书、 keystore /信任库文件和相同的 JDK，在 SDS 3.1.5 下，我在服务包装器日志 (wrapper.log) 中收到以下错误:

SEND TLSv1 ALERT: fatal, description = handshake_failure  
WRITE: TLSv1 Alert, length = 2  
called closeSocket()  
handling exception: javax.net.ssl.SSLHandshakeException: no cipher suites in common

我有一个双节点配置，其中一个配置为注册服务器(父节点)。子节点配置为推送和拉取更改。我正在使用 Sun (Oracle) JDK 7 update 5 和适当的 JCE Unlimited Strength Jurisdiction Policy Files(以获得对 256 位密码的访问权限)。

我在 Server 2008 下作为 Windows 服务在独立配置中运行 SDS。Windows 防火墙目前处于关闭状态。

我正在通过 sym_service.conf 文件将以下与 TLS 相关的 Java 参数传递给服务包装器:

wrapper.java.additional.6=-Dsym.keystore.file=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.7=-Djavax.net.ssl.keyStore=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.8=-Djavax.net.ssl.trustStore=c:/java-keystore/bfvm01-w2ka.ks
wrapper.java.additional.9=-Djavax.net.ssl.keyStorePassword=letmein
wrapper.java.additional.10=-Djavax.net.ssl.trustStorePassword=letmein
wrapper.java.additional.11=-Dsun.net.client.defaultReadTimeout=1800000
wrapper.java.additional.12=-Dsun.net.client.defaultConnectTimeout=1800000
wrapper.java.additional.13=-Djavax.net.debug=ssl,handshake

注意:作为 Java 应用程序的标准做法，我们为 keystore 和信任库使用相同的 Java keystore 文件。

这是配置服务包装器以启动 SDS 的方式:

wrapper.app.parameter.1=org.jumpmind.symmetric.SymmetricLauncher
wrapper.app.parameter.2=--secure-server
wrapper.app.parameter.3=--secure-port
wrapper.app.parameter.4=25684
wrapper.app.parameter.5=--properties
wrapper.app.parameter.6=../conf/symmetric.properties

sym_node 和 symmetric.properties 中的条目已正确配置为使用 HTTPS(而不是 HTTP)。

启动与父节点通信的子 SDS 节点报告此错误:

WRITE: TLSv1 Handshake, length = 198  
READ: TLSv1 Alert, length = 2  
RECV TLSv1 ALERT: fatal, handshake_failure  
called closeSocket()  
handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

父节点报错:

SEND TLSv1 ALERT: fatal, description = handshake_failure  
WRITE: TLSv1 Alert, length = 2  
called closeSocket()  
handling exception: javax.net.ssl.SSLHandshakeException: no cipher suites in common

正如我之前提到的，相同的配置(服务器、证书、 keystore /trustore 文件、JDK)可以很好地在 SDS 2.5.13 下实现 TLS/HTTPS 安全性。唯一的增量是切换到 SDS 3.1.5。如果我在 SDS 3.1.5 中禁用 TLS/HTTPS 配置并改用 HTTP，则父节点和子节点可以相互通信。

作为绝望的完整性检查，我编写了一个快速的“Hello World”客户端服务器应用程序，以在我的子节点机器上创建一个 SSLSocket 并将一行文本发送到服务器节点机器(使用与我相同的 TCP 端口一直用于 SDS)。使用相同的 JDK 和相同的 keystore /信任库文件编译并运行程序。像冠军一样工作。

我完全被难住了。任何帮助将不胜感激。

Answer 1

回答了我自己的问题。显然除了我之外没有人在 SymmetricDS (SDS) 节点之间使用 TLS(因为完全没有响应)。最初的错误消息让我失望，让我查找了所有错误的地方。

似乎 SDS 的 3.x 版本(至少 3.1.5)现在要求您提供您在 keystore 中使用的证书的“别名”。该值作为 Java 运行时参数“sym.keystore.ssl.cert.alias”提供。对于 Windows 用户，它将放置在服务包装器配置文件 (sym_service.conf) 中:

wrapper.java.additional.XX=-Dsym.keystore.ssl.cert.alias=foo

此参数在 SDS 2.5.13 中似乎不需要或不存在，并且在 SDS 3.1.5(或更高版本)中的任何地方都没有记录。它没有出现在随 SDS 3.1.5(或 SDS 3.2.0，我检查过)的二进制下载提供的任何配置文件中。

通过查看 SDS 源代码如何设置安全连接，我能够找出我的 SDS TLS 问题。

org.jumpmind.symmetric.SymmetricWebServer 使用证书别名如下:

sslConnectorFactory.setCertAlias(System.getProperty(SystemConstants.SYSPROP_KEYSTORE_CERT_ALIAS, "sym"));

SystemConstants.SYSPROP_KEYSTORE_CERT_ALIAS 设置为“sym.keystore.ssl.cert.alias”。

一旦我在 sym_service.conf 中提供了正确的别名，我就可以开始了。

• 布鲁斯