- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
目前我使用的是 Java 7,无法连接到 LDAPS。我尝试使用下面的代码,但仍然无法连接:
SSLContext ctx = SSLContext.getInstance("TLSv1.2");
ctx.init(null, null, null);
SSLContext.setDefault(ctx);
下面是我从程序中得到的错误:
<小时/>2018-04-10 15:21:23,446 INFO [stdout] (EJB default - 1) EJB default - 1, WRITE: TLSv1.2 Handshake, length = 221
2018-04-10 15:21:23,446 INFO [stdout] (EJB default - 1) EJB default - 1, READ: TLSv1.2 Alert, length = 2
2018-04-10 15:21:23,446 INFO [stdout] (EJB default - 1) EJB default - 1, RECV TLSv1 ALERT: fatal, handshake_failure
2018-04-10 15:21:23,446 INFO [stdout] (EJB default - 1) EJB default - 1, called closeSocket()
2018-04-10 15:21:23,446 INFO [stdout] (EJB default - 1) EJB default - 1, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
之后,我尝试运行协议(protocol)测试来检查支持的协议(protocol):
Supported Protocols: 5
SSLv2Hello
SSLv3
TLSv1
TLSv1.1
TLSv1.2
Enabled Protocols: 1
TLSv1
我添加了以下行以在 java.security
中禁用 TLSv1 并启用 TLSv1.2:
jdk.tls.disabledAlgorithms= SSLv3, SSLv2Hello, TLSv1, TLSv1.1
再次运行协议(protocol)测试,结果是:
Supported Protocols: 5
SSLv2Hello
SSLv3
TLSv1
TLSv1.1
TLSv1.2
Enabled Protocols: 0
<小时/>
我已确认我的 LDAPS 服务器受支持并使用 TLSv1.2。我还在 Java 控制面板中启用了 TLS1.2,因为每当我尝试使用 TLSv1 时,都会导致 protocol_version
错误
我的问题是:
RECV TLSv1 ALERT:致命,handshake_failure
?ECDHE-ECDSA-AES256-GCM-SHA384
?我使用的是 Java 1.7_80。
最佳答案
- What is RECV TLSv1 ALERT: fatal, handshake_failure ?
这意味着我们收到了(在 Java SSL/TLS 代码中,JSSE)来自服务器的警报,其严重性为致命,类型为握手失败。由于它是在发送一条握手消息后立即发生的,因此如果您没有从您发布的日志摘录中省略其他相关信息,我们可能会收到此警报以响应 ClientHello 消息,这是发送的第一条握手消息。
此处的“TLSv1”可能会产生误导。它是 SSLSocketImpl
对象中的一个变量,它被初始化为 TLSv1,并且在握手完成之前不会更新,因此此时它无法准确指示正在使用的协议(protocol)版本。前面的日志条目“READ:TLSv1.2 Alert,length = 2”确实显示收到的实际版本,并确认服务器至少正在尝试执行 TLS1.2 。
什么原因导致握手失败?很多很多的事情。实际上不可能从这个警报中判断出问题是什么。
您最好的选择是查看服务器日志并找出为什么它说它发送了警报。
最糟糕的选择是查看我们发送的 ClientHello——其中大部分应该在您发布的行之前已由 JSSE 记录——并考虑其中的所有内容,或者不在那里,服务器可能不喜欢其值或不存在,并尝试更改它们中的每一个。有些更改起来比较容易,有些则非常困难,因此这可能需要几个小时到几周的时间。
如果您有任何其他客户端成功连接到同一服务器,则中间选项是查看有效客户端和无效客户端之间的 ClientHello 差异,并考虑那些。作为这种情况的一种情况,如果您拥有或获得 OpenSSL,则可以使用命令行 openssl s_client
快速且相当简单地测试 SSL/TLS 握手的某些(但不是全部)变体。
你可能会猜到我推荐第一个。
- How to enable TLSv1.2 in supported Protocols?
您不需要在支持中启用它;您需要在启用协议(protocol)中启用它,并且您已经这样做了。使用 SSLContext.getInstance("TLSv1.2")
是一种方法。在 Java 8 但不是(编辑)7 的免费 Oracle 更新中,使用 sysprop jdk.tls.client.protocols
是另一种方法。 (7u95 以上实现此 sysprop,但对于 7u80 以上的 Oracle 7 更新需要付费。如果 OpenJDK 在您的平台上可用,则通常是免费的。)在 SSLSocket
上调用 .setEnabledProtocols
,一旦拥有,就是另一种方式。
- Edit Does Java 7 or 8 support cipher suite: ECDHE-ECDSA-AES256-GCM-SHA384? I'm using Java 1.7_80.
Oracle/Sun 和 OpenJDK 7 不支持 GCM 密码套件。或者确切地说,其中的标准 JSSE 提供程序没有,并且您没有提到任何有关更改提供程序的内容。 (IBM Java 使用不同的提供程序,我不了解它们,但它们大多使用不同的命名格式。)
Oracle 和 OpenJDK 8 支持 GCM 套件。但是,较旧的 Oracle 更新不支持 256 位 AES,除非您下载并安装“无限管辖权策略”文件;您可以找到很多其他有关此问题的问题。这个问题最近被修复了; 8u151/152 只需要文本编辑而不下载文件,8u161/162 及更高版本根本不需要任何更改。 Oracle 9 或任何 OpenJDK 也没有。
关于具有 TLSv1.2 的 Java 7 连接到 LDAPS 握手失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49748108/
当我测试我的网站性能时,我注意到 SSL 握手是连接设置的一部分。我了解(页面的)第一个请求需要完整的 SSL 握手。 但是,如果您从 pingdom 测试中注意到,只有某些其他资源在进行 SSL 握
在 SSL 握手期间,浏览器会根据需要使用提供的 URL 从主机 Web 服务器下载任何中间证书。我相信浏览器附带来自公共(public) CA 的预安装证书,这些证书只有根证书的公钥。 1) 当使用
在配置了客户端身份验证的 TLS 握手中,有一个步骤,服务器接收客户端的证书并选择是否信任它(例如,在 Java 中,它是通过 TrustManager 完成的)。 我想知道来自服务器的最终“信任失败
我正在尝试了解 Android 与服务器的 TLS 连接。有人可以纠正我吗? 有两种启动 TLS 连接的方式。首先,只有服务器有证书,客户端决定是否信任它。其次,客户端和服务器都获得了证书。我说得对吗
我正在创建一个社交网站,我希望用户在其中聊天并接收实时通知,例如 Facebook,我尝试搜索可能的解决方案并找到了 ejabberd 的 pubsub 模块(我正在使用 ejabberd 进行聊天)
我正在编写一个应用程序来(非正式地)替换在 adobe air 中制作的客户端,他们使用 RTMP 作为连接协议(protocol),我必须创建自己的类来实现它:< 据我所知,RTMP 属于 TCP
我正在做一个关于 TLS 握手的学术项目,我已经捕获了由多个客户端(谷歌浏览器、Firefox ......)生成的一些 TLS 流量,我想看看对于给定的浏览器,客户端 hello 消息是否总是相同的
我使用 openssl 实现了一个 DTLS 服务器。 (我有一个 udp 套接字,我正在使用内存 bio 与 openssl 通信。)但是,如果丢包,DTLS 握手可能需要 1-2 秒,这在我的情况
我编写了一个 PHP 程序来执行包含 openssl 命令的批处理文件: openssl s_client -showcerts -connect google.com:443 >test.cert
我编写了一个 PHP 程序来执行包含 openssl 命令的批处理文件: openssl s_client -showcerts -connect google.com:443 >test.cert
客户: var socket = new WebSocket('ws://localhost:8183/websession'); socket.onopen =
当有这么多证书时,浏览器如何知道在 ssl 握手中的客户端身份验证步骤中将哪个证书发送到服务器。我的意思是它如何识别哪个证书适用于哪个服务器 最佳答案 现在是 CyberMonk 的问题 如果您在
我正在尝试使用 python 连接到 XMPP 服务器。我有要连接的 XML,只是不确定如何进行连接的 TLS 部分?我可以找到很多 HTTPS TLS 示例和 XMPP 示例,只是不知道如何将两者放
我需要在我的 Python 服务器中实现 Websocket 握手。我的 python 服务器正在使用 Twisted 进行事件处理。我找到了 this webpage这解释了这个过程,但是当涉及到这
是否可以在当前 SSL 连接保持事件状态时重新协商 SSL 握手。当新的握手成功时,服务器应响应新握手的确认。 我搜索过 SSL 重新协商,但找不到任何具体内容。有谁知道这样的事情是否可能? 最佳答案
我编写了一个客户端-服务器应用程序,旨在通过局域网交换文件(以及其他内容)。在服务器模式下,应用程序监听具有特定标识 header 的 TCP 连接。在客户端模式下,它会尝试与用户提供的 IP 地址建
我有两台服务器通过 SSL 进行通信。 server1 通过 SSL 启动到 server2 的 SSL 连接。服务器 1 有一个 key 大小为 1k 的 keystore ,而服务器 2 有一个
架构是中间层 Liberty 服务器,它接收 http 请求和代理到各种后端,一些是 REST,一些只是 JSON。当我为 SSL 配置时(仅通过非常酷的 envVars)......似乎我得到了每个
我需要一些关于 TLS 的解释:每次客户端想要将自己连接到服务器时是否都执行 TLS 握手?每次都重新创建 session key ? premasterkey 和 masterkey 也是吗?Cli
我正在尝试将 TimeoutMixin 合并到基于 SSL 的协议(protocol)中。但是,当超时发生并且它调用 transport.loseConnection() 时,什么也没有发生。我认为这
我是一名优秀的程序员,十分优秀!