Jetty 中的“没有共同的密码套件”错误
"No cipher suites in common” error in Jetty
我已经在 Jetty 中设置了 ssl 连接器。它在我的开发机器 运行 Windows 7 上工作正常,但在 Linux 开发服务器上失败:Chrome/IE/C# 客户端无法打开网页和“No cipher suites in Jetty 调试日志中显示“common”。
我从 SslConnectionFactory 获取了 javax.net.ssl.SSLEngine 并打印了支持的芯片套件列表,它与 Windows/Linux 机器相同(我是 运行 相同的 java 1.8.0.11)。任何人都可以建议除了这些之外还有其他任何芯片用于 SSL 握手吗?
2016-01-18 10:20:11,875 DEBUG [qtp277169967-36] tty.util.ssl.SslContextFactory - SNI matching for type=host_name (0), value=x.com
2016-01-18 10:20:11,875 DEBUG [qtp277169967-36] tty.util.ssl.SslContextFactory - SNI matched x.com->X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[])
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] ipse.jetty.io.AbstractEndPoint - onClose SelectChannelEndPoint@5bdd29a4{/10.240.68.111:64350<->8443,CLOSED,in,out,-,-,3/30000,SslConnection}{io=0/0,kio=0,kro=1}
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] lipse.jetty.io.ChannelEndPoint - close SelectChannelEndPoint@5bdd29a4{/10.240.68.111:64350<->8443,CLOSED,in,out,-,-,3/30000,SslConnection}{io=0/0,kio=0,kro=1}
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] lipse.jetty.io.ManagedSelector - Queued change org.eclipse.jetty.io.ManagedSelector@1fbd3777 on org.eclipse.jetty.io.ManagedSelector@5e45d242 id=2 keys=1 selected=0
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] se.jetty.server.HttpConnection -
javax.net.ssl.SSLHandshakeException: no cipher suites in common
at sun.security.ssl.Handshaker.checkThrown(Handshaker.java:1364)
at sun.security.ssl.SSLEngineImpl.checkTaskThrown(SSLEngineImpl.java:529)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:807)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:775)
谢谢!
更新:还有一个有趣的行为,如果我只导入一个证书,它工作正常,但浏览器中有一个 ssl 警告,表明证书是由另一个未提供的证书签名的。如果我导入整个证书链,就会出现错误。
UPD 2:我 运行 有问题的服务器的 SSL 检查器并且有
Supported versions: TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
TLSv1.0
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
(TLSv1.1: idem)
TLSv1.2
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_128_CBC_SHA256
DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
----------------------
Server certificate(s):
XXX: CN=XXX, O=XXX, DC=XXX, DC=XXX
----------------------
Minimal encryption strength: strong encryption (96-bit or more)
Achievable encryption strength: strong encryption (96-bit or more)
我可以使用浏览器连接的服务器提供了相同的 chiphers 列表,唯一的区别在于证书。
更新 3:
我在这个 unix 服务器上检查了另一个 CN/SAN 的证书,它工作正常(只是抛出一个无效的证书主机错误)。看起来当 CN/SAN 记录匹配时它会运行导致此错误的额外验证?
简而言之,您的客户端提供的内容与服务器提供的内容不同。
这可能是因为您的证书是 DSA 格式,而您的客户端不提供 DSA(要解决此问题,请确保您使用更现代的证书格式,至少是 RSA 或更好)这样简单的问题
还有一大堆密码由于一个或另一个漏洞而被特别排除。
使用 SSLEngine 获取 "supported" 列表不会为您提供真实世界的答案。它告诉你的只是你的 Java 的能力,而不是你的特定连接器配置的设置。
使用SslContextFactory,但询问它包含和排除的密码套件是什么。或者只是打开 SslContextFactory 的调试并查看它产生的输出(显示 included/excluded 密码和协议)。
更新:
您没有提到它是 SNI 证书,这大大缩小了范围。
对于初学者,您必须使用 Jetty 9.3+,Java 8+,旧版本的 Jetty 或 Java 不支持服务器端的 SNI。
最后,确保将 SecureRequestCustomizer 添加到 SSL/TLS 特定 Connector 中的 HttpConfiguration,并使用可选的构造函数启用 SNI 主机检查。
在 jetty-distribution 上,您将执行以下操作...
$ mkdir snibase
$ cd snibase
$ java -jar /path/to/jetty-dist/start.jar --add-to-start=https,deploy
INFO: server initialised (transitively) in ${jetty.base}/start.ini
INFO: ssl initialised (transitively) in ${jetty.base}/start.ini
INFO: https initialised in ${jetty.base}/start.ini
INFO: deploy initialised in ${jetty.base}/start.ini
DOWNLOAD: http://git.eclipse.org/c/jetty/org.eclipse.jetty.project.git/plain/jetty-server/src/test/config/etc/keystore?id=master to ${jetty.base}/etc/keystore
MKDIR: ${jetty.base}/webapps
INFO: Base directory was modified
$ grep sni start.ini
# jetty.ssl.sniHostCheck=true
$ edit start.ini
$ grep sni start.ini
jetty.ssl.sniHostCheck=true
看起来我能够修复它:在密钥库中,密钥文件中有单独的证书。我删除了单独的副本,它开始工作了。我不知道它如何解释取决于主机名的问题,如果有人有同样的问题,只需发布解决方案。
UPD:它还有助于切换到 .p12 密钥库(其中只有证书链在里面,没有密钥)。
我已经在 Jetty 中设置了 ssl 连接器。它在我的开发机器 运行 Windows 7 上工作正常,但在 Linux 开发服务器上失败:Chrome/IE/C# 客户端无法打开网页和“No cipher suites in Jetty 调试日志中显示“common”。 我从 SslConnectionFactory 获取了 javax.net.ssl.SSLEngine 并打印了支持的芯片套件列表,它与 Windows/Linux 机器相同(我是 运行 相同的 java 1.8.0.11)。任何人都可以建议除了这些之外还有其他任何芯片用于 SSL 握手吗?
2016-01-18 10:20:11,875 DEBUG [qtp277169967-36] tty.util.ssl.SslContextFactory - SNI matching for type=host_name (0), value=x.com
2016-01-18 10:20:11,875 DEBUG [qtp277169967-36] tty.util.ssl.SslContextFactory - SNI matched x.com->X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[])
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Matched x.com with X509@18479e43(cert0,h=[x.com, y.com, z.com],w=[]) from [key]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] .ssl.SniX509ExtendedKeyManager - Chose alias null/RSA on 119c684e[SSLEngine[hostname=1.2.3.4 port=64350] SSL_NULL_WITH_NULL_NULL]
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] ipse.jetty.io.AbstractEndPoint - onClose SelectChannelEndPoint@5bdd29a4{/10.240.68.111:64350<->8443,CLOSED,in,out,-,-,3/30000,SslConnection}{io=0/0,kio=0,kro=1}
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] lipse.jetty.io.ChannelEndPoint - close SelectChannelEndPoint@5bdd29a4{/10.240.68.111:64350<->8443,CLOSED,in,out,-,-,3/30000,SslConnection}{io=0/0,kio=0,kro=1}
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] lipse.jetty.io.ManagedSelector - Queued change org.eclipse.jetty.io.ManagedSelector@1fbd3777 on org.eclipse.jetty.io.ManagedSelector@5e45d242 id=2 keys=1 selected=0
2016-01-18 10:20:11,877 DEBUG [qtp277169967-36] se.jetty.server.HttpConnection -
javax.net.ssl.SSLHandshakeException: no cipher suites in common
at sun.security.ssl.Handshaker.checkThrown(Handshaker.java:1364)
at sun.security.ssl.SSLEngineImpl.checkTaskThrown(SSLEngineImpl.java:529)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:807)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:775)
谢谢!
更新:还有一个有趣的行为,如果我只导入一个证书,它工作正常,但浏览器中有一个 ssl 警告,表明证书是由另一个未提供的证书签名的。如果我导入整个证书链,就会出现错误。
UPD 2:我 运行 有问题的服务器的 SSL 检查器并且有
Supported versions: TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
TLSv1.0
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
(TLSv1.1: idem)
TLSv1.2
RSA_WITH_RC4_128_MD5
RSA_WITH_RC4_128_SHA
RSA_WITH_3DES_EDE_CBC_SHA
DHE_RSA_WITH_3DES_EDE_CBC_SHA
RSA_WITH_AES_128_CBC_SHA
DHE_RSA_WITH_AES_128_CBC_SHA
RSA_WITH_AES_128_CBC_SHA256
DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
----------------------
Server certificate(s):
XXX: CN=XXX, O=XXX, DC=XXX, DC=XXX
----------------------
Minimal encryption strength: strong encryption (96-bit or more)
Achievable encryption strength: strong encryption (96-bit or more)
我可以使用浏览器连接的服务器提供了相同的 chiphers 列表,唯一的区别在于证书。
更新 3: 我在这个 unix 服务器上检查了另一个 CN/SAN 的证书,它工作正常(只是抛出一个无效的证书主机错误)。看起来当 CN/SAN 记录匹配时它会运行导致此错误的额外验证?
简而言之,您的客户端提供的内容与服务器提供的内容不同。
这可能是因为您的证书是 DSA 格式,而您的客户端不提供 DSA(要解决此问题,请确保您使用更现代的证书格式,至少是 RSA 或更好)这样简单的问题
还有一大堆密码由于一个或另一个漏洞而被特别排除。
使用 SSLEngine 获取 "supported" 列表不会为您提供真实世界的答案。它告诉你的只是你的 Java 的能力,而不是你的特定连接器配置的设置。
使用SslContextFactory,但询问它包含和排除的密码套件是什么。或者只是打开 SslContextFactory 的调试并查看它产生的输出(显示 included/excluded 密码和协议)。
更新:
您没有提到它是 SNI 证书,这大大缩小了范围。
对于初学者,您必须使用 Jetty 9.3+,Java 8+,旧版本的 Jetty 或 Java 不支持服务器端的 SNI。
最后,确保将 SecureRequestCustomizer 添加到 SSL/TLS 特定 Connector 中的 HttpConfiguration,并使用可选的构造函数启用 SNI 主机检查。
在 jetty-distribution 上,您将执行以下操作...
$ mkdir snibase
$ cd snibase
$ java -jar /path/to/jetty-dist/start.jar --add-to-start=https,deploy
INFO: server initialised (transitively) in ${jetty.base}/start.ini
INFO: ssl initialised (transitively) in ${jetty.base}/start.ini
INFO: https initialised in ${jetty.base}/start.ini
INFO: deploy initialised in ${jetty.base}/start.ini
DOWNLOAD: http://git.eclipse.org/c/jetty/org.eclipse.jetty.project.git/plain/jetty-server/src/test/config/etc/keystore?id=master to ${jetty.base}/etc/keystore
MKDIR: ${jetty.base}/webapps
INFO: Base directory was modified
$ grep sni start.ini
# jetty.ssl.sniHostCheck=true
$ edit start.ini
$ grep sni start.ini
jetty.ssl.sniHostCheck=true
看起来我能够修复它:在密钥库中,密钥文件中有单独的证书。我删除了单独的副本,它开始工作了。我不知道它如何解释取决于主机名的问题,如果有人有同样的问题,只需发布解决方案。 UPD:它还有助于切换到 .p12 密钥库(其中只有证书链在里面,没有密钥)。