Java 应用程序调用 WCF returns "Connection Reset" 而 SoapUI 工作正常
Java application calling WCF returns "Connection Reset" while SoapUI works fine
我有一个 C# MVC 应用程序(.NET Framework 4.6.2),其中一个 WCF(基于肥皂的)Web 服务位于应用程序内的 /webservice。 WCF Web 服务供第 3 方供应商调用并将其数据推送到。我们在 Windows Server 2016 服务器上的测试环境中有应用程序,端口 80 和 443 打开并且我们的证书不是自签名和有效的。当我们使用 SoapUI 测试服务时,我们能够正确访问 WCF Web 服务并将 post 测试数据发送到服务器,但是当我们的供应商 posts 从他们的 Java 获取数据时他们收到的申请 "Connection Reset"。我们已经删除了所有身份验证,只是试图让它们到达 WCF,但我们的 IIS 日志和应用程序日志甚至没有显示它们访问了我们的服务器。 SoapUI(在我们的 network/firewall 内部和外部)能够正确地访问服务。我们的 web.config 看起来像这样:
<system.serviceModel>
<diagnostics>
<messageLogging logEntireMessage="true" logMalformedMessages="true" logMessagesAtServiceLevel="true" logMessagesAtTransportLevel="true" maxMessagesToLog="3000"/>
</diagnostics>
<bindings>
<basicHttpBinding>
<binding name="basicBinding" textEncoding="utf-8" openTimeout="00:03:00" closeTimeout="00:03:00"/>
</basicHttpBinding>
</bindings>
<services>
<service behaviorConfiguration="serviceBehavior" name="WebServiceUniqueName">
<endpoint address="/endpoint/soap" binding="basicHttpBinding" bindingConfiguration="basicBinding" name="soapEndpoint" bindingNamespace="https://test.site.com/webservice" contract="Our.Namespace.ISoapContract"/>
<endpoint address="mex" binding="mexHttpBinding" name="mexEndpoint" contract="IMetadataExchange"/>
<host>
<baseAddresses>
<add baseAddress="/webservice/servicename"/>
</baseAddresses>
</host>
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="serviceBehavior">
<serviceMetadata externalMetadataLocation="https://test.site.com/webservice/content.xml"
httpGetEnabled="true" />
<serviceDebug httpHelpPageEnabled="false" includeExceptionDetailInFaults="true" />
</behavior>
</serviceBehaviors>
</behaviors>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true"/>
我们的 WCF 代码如下所示:
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Allowed)]
[ServiceBehavior(Namespace = "https://test.site.com/webservice")]
public class MyService : ISoapContract
{
public DataResponse SubmitData(DataRequest input)
{
// Code here
}
}
namespace Our.Namespace
{
[ServiceContract(Namespace = "https://test.site.com/webservice")]
[XmlSerializerFormat]
public interface ISoapContract
{
[OperationContract(Name = "SubmitData")]
[XmlSerializerFormat]
DataResponse SubmitData(DataRequest input);
}
}
我们的服务器使用 TLS 1.2 并回落到 1.1(这正是供应商所期望的)。我们的防火墙没有显示任何被阻止的内容,并且 "Connection Reset" 消息是在他们请求的前几秒内出现的。第 3 方能够从他们的浏览器访问 WSDL,所以所有这些让我相信在握手过程中出现了故障。 SoapUI 正在通过,运行s 在 Java 上,所以我们在这一点上真的很困惑。 Java 调用 C# WCF 应用程序是否需要额外的东西?有没有办法捕获握手尝试?
更多测试后更新:
我们采纳了 Sambit 的建议并使用了 Microsoft Web 服务客户端,并且没有任何问题。我们创建了另一个测试 WCF,还创建了一个调用我们的服务器的应用程序,并将两者都毫无问题地放在 Azure 中。我们可以访问我们的 Web 服务,但供应商仍然无法访问服务器。我们添加了更多日志记录并查看了防火墙,来自供应商的流量正在通过防火墙到达服务器,但报告 "TCP reset from server".
第 3 方供应商的应用程序托管在共享环境中,他们能够 运行 在他们的服务器上执行命令,但他们无法更改任何代码来记录额外信息。他们能够 ping 我们的服务器和 运行 以下命令:
nc -zv (server_url) 443
连接成功,但当他们试图从服务器获取证书时,失败了:
openssl s_client -tls1_2 -showcerts -connect (server_url):443
CONNECTED(00000003) write:errno=104
--- no peer certificate available
--- No client certificate CA names sent
在双方很多非常聪明的人的帮助下,问题最终变成了服务器名称指示(SNI):
https://en.wikipedia.org/wiki/Server_Name_Indication
供应商的应用程序 运行 是 Java 的旧版本,没有 understand/support SNI,他们目前无法升级。
我们的服务器管理员在我们的 Windows 服务器上为供应商调用的域专用了一个 IP,并为该特定域禁用了 SNI。我们现在可以毫无问题地接收供应商的网络服务器调用。
我有一个 C# MVC 应用程序(.NET Framework 4.6.2),其中一个 WCF(基于肥皂的)Web 服务位于应用程序内的 /webservice。 WCF Web 服务供第 3 方供应商调用并将其数据推送到。我们在 Windows Server 2016 服务器上的测试环境中有应用程序,端口 80 和 443 打开并且我们的证书不是自签名和有效的。当我们使用 SoapUI 测试服务时,我们能够正确访问 WCF Web 服务并将 post 测试数据发送到服务器,但是当我们的供应商 posts 从他们的 Java 获取数据时他们收到的申请 "Connection Reset"。我们已经删除了所有身份验证,只是试图让它们到达 WCF,但我们的 IIS 日志和应用程序日志甚至没有显示它们访问了我们的服务器。 SoapUI(在我们的 network/firewall 内部和外部)能够正确地访问服务。我们的 web.config 看起来像这样:
<system.serviceModel>
<diagnostics>
<messageLogging logEntireMessage="true" logMalformedMessages="true" logMessagesAtServiceLevel="true" logMessagesAtTransportLevel="true" maxMessagesToLog="3000"/>
</diagnostics>
<bindings>
<basicHttpBinding>
<binding name="basicBinding" textEncoding="utf-8" openTimeout="00:03:00" closeTimeout="00:03:00"/>
</basicHttpBinding>
</bindings>
<services>
<service behaviorConfiguration="serviceBehavior" name="WebServiceUniqueName">
<endpoint address="/endpoint/soap" binding="basicHttpBinding" bindingConfiguration="basicBinding" name="soapEndpoint" bindingNamespace="https://test.site.com/webservice" contract="Our.Namespace.ISoapContract"/>
<endpoint address="mex" binding="mexHttpBinding" name="mexEndpoint" contract="IMetadataExchange"/>
<host>
<baseAddresses>
<add baseAddress="/webservice/servicename"/>
</baseAddresses>
</host>
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="serviceBehavior">
<serviceMetadata externalMetadataLocation="https://test.site.com/webservice/content.xml"
httpGetEnabled="true" />
<serviceDebug httpHelpPageEnabled="false" includeExceptionDetailInFaults="true" />
</behavior>
</serviceBehaviors>
</behaviors>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true"/>
我们的 WCF 代码如下所示:
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Allowed)]
[ServiceBehavior(Namespace = "https://test.site.com/webservice")]
public class MyService : ISoapContract
{
public DataResponse SubmitData(DataRequest input)
{
// Code here
}
}
namespace Our.Namespace
{
[ServiceContract(Namespace = "https://test.site.com/webservice")]
[XmlSerializerFormat]
public interface ISoapContract
{
[OperationContract(Name = "SubmitData")]
[XmlSerializerFormat]
DataResponse SubmitData(DataRequest input);
}
}
我们的服务器使用 TLS 1.2 并回落到 1.1(这正是供应商所期望的)。我们的防火墙没有显示任何被阻止的内容,并且 "Connection Reset" 消息是在他们请求的前几秒内出现的。第 3 方能够从他们的浏览器访问 WSDL,所以所有这些让我相信在握手过程中出现了故障。 SoapUI 正在通过,运行s 在 Java 上,所以我们在这一点上真的很困惑。 Java 调用 C# WCF 应用程序是否需要额外的东西?有没有办法捕获握手尝试?
更多测试后更新:
我们采纳了 Sambit 的建议并使用了 Microsoft Web 服务客户端,并且没有任何问题。我们创建了另一个测试 WCF,还创建了一个调用我们的服务器的应用程序,并将两者都毫无问题地放在 Azure 中。我们可以访问我们的 Web 服务,但供应商仍然无法访问服务器。我们添加了更多日志记录并查看了防火墙,来自供应商的流量正在通过防火墙到达服务器,但报告 "TCP reset from server".
第 3 方供应商的应用程序托管在共享环境中,他们能够 运行 在他们的服务器上执行命令,但他们无法更改任何代码来记录额外信息。他们能够 ping 我们的服务器和 运行 以下命令:
nc -zv (server_url) 443
连接成功,但当他们试图从服务器获取证书时,失败了:
openssl s_client -tls1_2 -showcerts -connect (server_url):443
CONNECTED(00000003) write:errno=104
--- no peer certificate available
--- No client certificate CA names sent
在双方很多非常聪明的人的帮助下,问题最终变成了服务器名称指示(SNI):
https://en.wikipedia.org/wiki/Server_Name_Indication
供应商的应用程序 运行 是 Java 的旧版本,没有 understand/support SNI,他们目前无法升级。
我们的服务器管理员在我们的 Windows 服务器上为供应商调用的域专用了一个 IP,并为该特定域禁用了 SNI。我们现在可以毫无问题地接收供应商的网络服务器调用。