java-间歇性SSL握手错误

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了java-间歇性SSL握手错误，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2325字，纯文字阅读大概需要4分钟。

内容图文

我们的SSL存在问题,我99％的人不是您通常的证书信任存储旋转木马.

我们有一台Weblogic服务器试图通过LDAPS建立到Active Directory的SSL连接,底层的SSL实现是JSSE.

在某些时候,它可以工作.通常在重新启动Weblogic后几个小时.

之后,我们开始收到SSL握手错误,并打开SSL调试,我们看到：

[ACTIVE] ExecuteThread: ’10’ for queue: ‘weblogic.kernel.Default
(self-tuning)’, handling exception: java.net.SocketException:
Connection reset [ACTIVE] ExecuteThread: ’10’ for queue:
‘weblogic.kernel.Default (self-tuning)’, SEND TLSv1 ALERT: fatal,
description = unexpected_message [ACTIVE] ExecuteThread: ’10’ for
queue: ‘weblogic.kernel.Default (self-tuning)’, WRITE: TLSv1 Alert,
length = 32 [ACTIVE] ExecuteThread: ’10’ for queue:
‘weblogic.kernel.Default (self-tuning)’, Exception sending alert:
java.net.SocketException: Broken pipe

到目前为止,我已经尝试了以下方法来理解/复制它：

>通过OpenSSL连接并加载证书-每次都可以正常运行
>通过安全的ldapsearch连接并加载已加载的证书-每次都可以正常运行
>通过自定义测试Java客户端进行连接-每次都能正常运行
>使用Wireshark和私钥解密SSL握手.

我用Wireshark注意到“糟糕的”握手,是在客户端发送更改密码规范后,“完成”消息AD不会以实物形式答复.更重要的是,Wireshark无法解密SSL握手,失败的原因是：

ssl_decrypt_pre_master_secret wrong pre_master_secret length (109,
expected 48) dissect_ssl3_handshake can’t decrypt pre master secret

注意：当SSL握手正常运行时,Wireshark SSL解密可以正常运行.

我看不到SSL握手的好坏,直到AD服务器无响应为止.

在这一点上,我感到很困惑……我真的很难理解为什么在某些时候会失败,而其余的工作都会继续,在这一点上,我真的只是希望就可能发生的事情提出一些建议.

哦,是的,差点忘了. Active Directory事件日志中没有错误：

Event ID: 36888 The following fatal alert was raised: 20. The state of
the internal error is 960.

经过一番研究,我设法找到了对应的SSL错误“ BAD_RECORD_MAC”.

在这一点上,我唯一的理论是,由于某种原因,使用了错误的公钥来加密握手……我无法理解为什么服务器(和Wireshark)无法解密完成的消息.

谢谢！

更新：

我已经比较了好的情况和坏的情况,两种情况下的密码规范都相同：TLS_RSA_WITH_AES_128_CBC_SHA.我还比较了客户端和服务器端的数据包,除非存在正常的以太网和IP协议差异,否则它们似乎都是相同的.

解决方法:

因此,经过大量的研究,实验和灵魂探索.最终,我们将此问题归结为用于连接外部系统的第三方库.在初始化时,它将在JSSE默认提供程序之前将其自身添加为安全提供程序.我不知道为什么这会继续中断所有后续的SSL连接…但是确实如此.

谢谢你的帮助.

内容总结

以上是互联网集市为您收集整理的java-间歇性SSL握手错误全部内容，希望文章能够帮你解决java-间歇性SSL握手错误所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端