主页 / server / 问题 / 1082027
Accepted
pbuchheit
Asked: 2021-10-29 11:32:45 +0800 CST

如何向 Java 应用程序服务器添加额外的密码套件?

  • 772

从 java 应用程序调用第三方 API 时,我遇到了一些麻烦。外部 API 至少需要以下密码之一:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

我按照此处的说明进行操作:https ://confluence.atlassian.com/stashkb/list-ciphers-used-by-jvm-679609085.html尝试升级我的应用程序服务器上的可用密码。但是,升级后我仍然没有看到列出的任何兼容密码。

我怀疑问题是我的服务器正在运行 jdk 1.7 。这是一个遗留应用程序,所以很遗憾我无法升级到更新的 jdk。有没有办法将这些密码添加到我现有的 java 安装中?

更新: 我想出了如何添加额外的密码,但它似乎没有帮助。在我的套接字工厂中,我添加了一些这样的代码:

private Socket acceptOnlyTLS12(Socket socket) {
        if (!(socket instanceof SSLSocket))
            return socket;
        SSLSocket sslSocket = (SSLSocket) socket;
        sslSocket.setEnabledProtocols(new String[] { "TLSv1.2" });
        List<String> ciphers = new ArrayList<String>(Arrays.asList(sslSocket.getEnabledCipherSuites()));
        ciphers.add("TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256");
        sslSocket.setEnabledCipherSuites(ciphers.toArray(new String[] {}));
        return sslSocket;
    }

我在某个地方还缺少另一个步骤吗?是否有某种方法可以获取有关 ssl 握手失败原因的其他信息?

java linux ssl cipher

2 个回答

  1. (1) 该网页的日期为 2014 年;在 2017 年之后,Oracle Java 版本不再使用无限策略,在此之前(例如 7u80)它只对 128 位以上的对称加密很重要,这只会影响 AES256 套件而不影响 AES128 套件。(它从未适用于 OpenJDK,尽管低于 8 的 OpenJDK 曾经/仅在主要的 Linux 发行版(如 RedHat 和 Debian)上可用,它们可以分配人员进行构建和打包;你不说你在使用哪个。)

    (2) Java (1.)7确实支持您显示的 CBC 密码套件(不是 GCM 密码套件,对于 7u171 以下的 Oracle 版本,AES256 确实需要无限策略)但仅在使用 TLS1.2 时(这些密码套件不存在在较低版本的协议中),默认情况下 j7 禁用 TLS1.2(和 1.1)客户端。

    HttpsURLConnection如果您使用(例如)明确地连接到此 API,new URL("https://something").openConnection()您可以调整 socketfactory 以使用SSLContext.getInstance("TLSv1.2")和/或明确地setEnabledProtocols在套接字上使用。如果您使用其他中间件,例如 Apache HttpComponents,通常有类似的方法,但它们的细节有所不同;您需要向我们展示代码,这可能属于 StackOverflow,而不是这里。如果您正在调用一个在内部进行连接的库,它可能有选项,也可能没有。对于所有或许多调用方法,您可以更改默认值,SSLContext.setDefault()或者HttpsURLConnection.setDefaultSSLSocketFacfory() 如果这些默认值没有在相关代码中被覆盖,并且进行这样的全局更改不会对在同一 JVM 中运行的其他任何东西造成麻烦。

    或者(以及更多关于主题的内容!)如果您有足够新的 j7 更新,我很确定他们向后移植了系统属性jdk.tls.client.protocols,您可以将其设置为例如TLSv1,TLSv1.1,TLSv1.2更改默认值而不更改代码(但同样只有在没有被覆盖且没有被覆盖的情况下)伤害其他任何东西)。我不记得确切的时间,但肯定是在 7u80 之后,所以你只能在付费的 Oracle 支持或 OpenJDK 由其他人有偿或无偿支持的情况下拥有它。这很容易尝试并且可能会奏效。

    • 1
  2. Best Answer

    我终于找到了一个解决方法,如果有点难看。我创建了一个向外部 API 发出 cURL 请求的 groovy 脚本。由于 cURL 可以使用最新的证书,因此我可以绕过因使用旧 JDK 所带来的限制。它很笨拙,但它有效。

    • 0

相关问题