RocketMQ 初次尝试受挫篇【ssl错误】

最新推荐文章于 2024-03-26 13:13:47 发布
最新推荐文章于 2024-03-26 13:13:47 发布
阅读量5.6k 收藏
点赞数 2
分类专栏: Java rocketmq netty 文章标签: rocketmq java netty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013066244/article/details/78815087
版权
Java 同时被 3 个专栏收录
176 篇文章 5 订阅
订阅专栏
netty
2 篇文章 0 订阅
订阅专栏
rocketmq
1 篇文章 0 订阅
订阅专栏

环境

RocketMQ:4.1.0
操作系统:win7
服务器:centos6.5
工具:CRT

错误

//以上日志省略。。。
2017-12-15 13:56:43 INFO main - Using JDK SSL provider
2017-12-15 13:56:43 ERROR main - Failed to create SSLContext for server
java.security.cert.CertificateException: No provider succeeded to generate a self-signed certificate. See debug log for the root cause.
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:157) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:110) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:88) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:79) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at org.apache.rocketmq.remoting.netty.TlsHelper.buildSslContext(TlsHelper.java:133) ~[rocketmq-remoting-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.remoting.netty.NettyRemotingServer.<init>(NettyRemotingServer.java:147) ~[rocketmq-remoting-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvController.initialize(NamesrvController.java:75) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvStartup.main0(NamesrvStartup.java:108) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvStartup.main(NamesrvStartup.java:46) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
2017-12-15 13:56:43 INFO NettyEventExecutor - NettyEventExecutor service started
2017-12-15 13:56:43 INFO main - The Name Server boot success. serializeType=JSON

情况

昨天了解到了我们国产的消息中间件RocketMQ,阿里巴巴出的,非常兴奋;立马去官网了解。

跟着官网的步骤走:

  > git clone -b develop https://github.com/apache/rocketmq.git
  > cd rocketmq
  > mvn -Prelease-all -DskipTests clean install -U
  > cd distribution/target/apache-rocketmq
  > # nohup sh bin/mqnamesrv &
  > nohup sh bin/mqnamesrv
  > tail -f ~/logs/rocketmqlogs/namesrv.log

执行完上面的步骤时,起不来;看下错误,jdk版本不对。
说明下:

我公司由于历史的原因,jdk1.8基本不会使用,一直停留在jdk1.7

所以我只要在自己的家目录中下载一个jdk1.8
把启动脚本runserver.shjava环境修改下:

export JAVA_HOME=/home/yutao/jdk1.8.0_121
export CLASSPATH=$JAVA_HOME/lib:$JAVA_HOME/jre/lib
error_exit ()
{
    echo "ERROR: $1 !!"
    exit 1
}

#[ ! -e "$JAVA_HOME/bin/java" ] && JAVA_HOME=$HOME/jdk/java
#[ ! -e "$JAVA_HOME/bin/java" ] && JAVA_HOME=/usr/java
#[ ! -e "$JAVA_HOME/bin/java" ] && error_exit "Please set the JAVA_HOME variable in your environment, We need java(x64)!"

#export JAVA_HOME
export JAVA="$JAVA_HOME/bin/java"
export BASE_DIR=$(dirname $0)/..
export CLASSPATH=.:${BASE_DIR}/conf:${CLASSPATH}
echo "$CLASSPATH"

之后,启动没问题,但是报了个错误,就是上面那个(我再复制一遍)。

2017-12-15 13:56:43 INFO main - Using JDK SSL provider
2017-12-15 13:56:43 ERROR main - Failed to create SSLContext for server
java.security.cert.CertificateException: No provider succeeded to generate a self-signed certificate. See debug log for the root cause.
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:157) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:110) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:88) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at io.netty.handler.ssl.util.SelfSignedCertificate.<init>(SelfSignedCertificate.java:79) ~[netty-all-4.0.42.Final.jar:4.0.42.Final]
        at org.apache.rocketmq.remoting.netty.TlsHelper.buildSslContext(TlsHelper.java:133) ~[rocketmq-remoting-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.remoting.netty.NettyRemotingServer.<init>(NettyRemotingServer.java:147) ~[rocketmq-remoting-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvController.initialize(NamesrvController.java:75) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvStartup.main0(NamesrvStartup.java:108) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
        at org.apache.rocketmq.namesrv.NamesrvStartup.main(NamesrvStartup.java:46) [rocketmq-namesrv-4.2.0-SNAPSHOT.jar:4.2.0-SNAPSHOT]
2017-12-15 13:56:43 INFO NettyEventExecutor - NettyEventExecutor service started
2017-12-15 13:56:43 INFO main - The Name Server boot success. serializeType=JSON

这个错误困扰了我一天,我甚至还去钉钉上问,RocketMQ的开发人冯嘉
(我一开始以为大佬都是不会理我这种小白的,没想到居然回了我)。
他给的解释,是权限不对

这个我也猜到了,以为我使用root账号执行时,不报错,但是使用我自己的账号就是不行。

猜测

脚本没有改全

因为bin目录下有很多脚本,我只改了一个,所以呢!我全部都改了一遍,就是把java环境指定了1.8
历史原因:系统配置文件(/etc/profile)里的不能改(线上已经有程序了,jdk1.8并不兼容1.7)。

之后启动下,还是不行;
无奈,晚上在家虚拟机中执行时,完全使用自己的账号,一次就OK啦!
这让我更加肯定是权限问题。

网上资料本来就少,去官网留言还得用英文;真是欲哭无泪。。。

后来我Google的时候,查到了netty的源码:

https://netty.io/4.0/xref/io/netty/handler/ssl/util/SelfSignedCertificate.html

public SelfSignedCertificate(String fqdn, SecureRandom random, int bits, Date notBefore, Date notAfter)
             throws CertificateException {
         // Generate an RSA key pair.
         final KeyPair keypair;
         try {
             KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
             keyGen.initialize(bits, random);
             keypair = keyGen.generateKeyPair();
         } catch (NoSuchAlgorithmException e) {
             // Should not reach here because every Java implementation must have RSA key pair generator.
             throw new Error(e);
         }

         String[] paths;
         try {
             // Try the OpenJDK's proprietary implementation.
             paths = OpenJdkSelfSignedCertGenerator.generate(fqdn, keypair, random, notBefore, notAfter);
         } catch (Throwable t) {
             logger.debug("Failed to generate a self-signed X.509 certificate using sun.security.x509:", t);
             try {
                 // Try Bouncy Castle if the current JVM didn't have sun.security.x509.
                paths = BouncyCastleSelfSignedCertGenerator.generate(fqdn, keypair, random, notBefore, notAfter);
             } catch (Throwable t2) {
                 logger.debug("Failed to generate a self-signed X.509 certificate using Bouncy Castle:", t2);
                 throw new CertificateException(
                         "No provider succeeded to generate a self-signed certificate. " +
                                 "See debug log for the root cause.", t2);
                 // TODO: consider using Java 7 addSuppressed to append t
             }
         }

         certificate = new File(paths[0]);
         privateKey = new File(paths[1]);
         key = keypair.getPrivate();
         FileInputStream certificateInput = null;
         try {
             certificateInput = new FileInputStream(certificate);
             cert = (X509Certificate) CertificateFactory.getInstance("X509").generateCertificate(certificateInput);
         } catch (Exception e) {
             throw new CertificateEncodingException(e);
         } finally {
             if (certificateInput != null) {
                 try {
                     certificateInput.close();
                 } catch (IOException e) {
                     logger.warn("Failed to close a file: " + certificate, e);
                 }
             }
         }
     }

单纯的看,没发现什么特别的,只知道是要生成ssl证书。

后来我Google的时候,查了一个类似的错误:
Input is starting although generating TLS cert fails

里面提到确保有tmpDir的写权限。这让我想起了之前我在指定elasticsearch启动脚本的jdk版本时也有过类似的问题。但是一路追查源码,才知道需要有/tmp目录的写权限。

抱着试试的心态,把/tmp的权限改为777。(我公司通过软连接,定位到了/home/.tmp这个目录目前只有root才有权限)。

再次启动,成功啦!没有报错啦!

我靠,心累啦!为什么netty会往里面写东西呢?看看了:

-rw-rw-r-- 1 yutao yutao  914 Dec 15 14:09 keyutil_example.com_4665592468277863911.key
-rw-rw-r-- 1 yutao yutao  634 Dec 15 14:09 keyutil_example.com_9153033687312290589.crt

就是生成了ssl的证书。

好吧!

查看源码

对于为什么要往/tmp文件加里写ssl证书,我得查查源码。

这里写图片描述

主要是看到:

// Try Bouncy Castle if the current JVM didn't have sun.security.x509.
154                 paths = BouncyCastleSelfSignedCertGenerator.generate(fqdn, keypair, random, notBefore, notAfter);

而这个方法BouncyCastleSelfSignedCertGenerator.generate(fqdn, keypair, random, notBefore, notAfter)

final class BouncyCastleSelfSignedCertGenerator
{
    private static final Provider PROVIDER;

    static String[] generate(final String fqdn, final KeyPair keypair, final SecureRandom random, final Date notBefore, final Date notAfter) throws Exception {
        final PrivateKey key = keypair.getPrivate();
        final X500Name owner = new X500Name("CN=" + fqdn);
        final X509v3CertificateBuilder builder = (X509v3CertificateBuilder)new JcaX509v3CertificateBuilder(owner, new BigInteger(64, random), notBefore, notAfter, owner, keypair.getPublic());
        final ContentSigner signer = new JcaContentSignerBuilder("SHA256WithRSAEncryption").build(key);
        final X509CertificateHolder certHolder = builder.build(signer);
        final X509Certificate cert = new JcaX509CertificateConverter().setProvider(BouncyCastleSelfSignedCertGenerator.PROVIDER).getCertificate(certHolder);
        cert.verify(keypair.getPublic());
        //看到这里
        return SelfSignedCertificate.newSelfSignedCertificate(fqdn, key, cert);
    }

    static {
        PROVIDER = (Provider)new BouncyCastleProvider();
    }
}

我们再看到SelfSignedCertificate.newSelfSignedCertificate(fqdn, key, cert),其源码是:

static String[] newSelfSignedCertificate(final String fqdn, final PrivateKey key, final X509Certificate cert) throws IOException, CertificateEncodingException {
        ByteBuf wrappedBuf = Unpooled.wrappedBuffer(key.getEncoded());
        String keyText;
        try {
            final ByteBuf encodedBuf = Base64.encode(wrappedBuf, true);
            try {
                keyText = "-----BEGIN PRIVATE KEY-----\n" + encodedBuf.toString(CharsetUtil.US_ASCII) + "\n-----END PRIVATE KEY-----\n";
            }
            finally {
                encodedBuf.release();
            }
        }
        finally {
            wrappedBuf.release();
        }
        final File keyFile = File.createTempFile("keyutil_" + fqdn + '_', ".key");
        keyFile.deleteOnExit();
        OutputStream keyOut = new FileOutputStream(keyFile);
        try {
            keyOut.write(keyText.getBytes(CharsetUtil.US_ASCII));
            keyOut.close();
            keyOut = null;
        }
        finally {
            if (keyOut != null) {
                safeClose(keyFile, keyOut);
                safeDelete(keyFile);
            }
        }
        wrappedBuf = Unpooled.wrappedBuffer(cert.getEncoded());
        String certText;
        try {
            final ByteBuf encodedBuf = Base64.encode(wrappedBuf, true);
            try {
                certText = "-----BEGIN CERTIFICATE-----\n" + encodedBuf.toString(CharsetUtil.US_ASCII) + "\n-----END CERTIFICATE-----\n";
            }
            finally {
                encodedBuf.release();
            }
        }
        finally {
            wrappedBuf.release();
        }
        final File certFile = File.createTempFile("keyutil_" + fqdn + '_', ".crt");
        certFile.deleteOnExit();
        OutputStream certOut = new FileOutputStream(certFile);
        try {
            certOut.write(certText.getBytes(CharsetUtil.US_ASCII));
            certOut.close();
            certOut = null;
        }
        finally {
            if (certOut != null) {
                safeClose(certFile, certOut);
                safeDelete(certFile);
                safeDelete(keyFile);
            }
        }
        return new String[] { certFile.getPath(), keyFile.getPath() };
    }

然后我们再看到这一句:

final File keyFile = File.createTempFile("keyutil_" + fqdn + '_', ".key");

里面的File.createTempFile()是创建一个临时文件,在哪里创建呢?
对于Linux而已,默认就是/tmp目录中,所以普通用户默认是没有写权限的。导致出现了今天这个错误。(我家里虚拟机之所以可以,是因为我改过它的权限)。

这个情况和elasticsearch真的非常类似。
大家明明都知道不建议以root用户来启动项目,而偏偏又要往/tmp这个文件临时写东西,关键是这个还不能通过配置来改变。只能。。。:
要么修改权限,要么以root身份来执行。

这不是什么大问题,但是很浪费时间。。。

参考地址:

https://github.com/Graylog2/graylog2-server/issues/2054

https://netty.io/4.0/xref/io/netty/handler/ssl/util/SelfSignedCertificate.html

山鬼谣me
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
RocketMq安装及使用
m0_43399885的博客
07-31 569
安装 首先下载,注意下载source版本(未编译版)下载地址 上传至linux服务器上,使用官方解压命令解压unzip rocketmq-all-4.3.0-source-release.zip 进入相关目录,使用mvn进行编译(如果没有需要安装maven,maven依赖jdk。都得安装)。mvn -Prelease-all -DskipTests clean install -U 到这里就安装成功了 启动 进入项目目录文件distribution/target/apache-rocket
error creating ssl context
wwpp的博客
01-13 1462
出现此错误是使用了Qt的https请求,但QtNetwork库本身不集成openssl,需要依赖单独的openssl库。 1、使用Qt版本大于5.12.4 如果你的Qt版本在Qt5.12.4之后,事情就比较方便。据查Qt5.12.4之后使用启用1.1.x,名称为libcrypto-1_1.dll 和libssl-1_1.dll。 在openssl安装网站,下载win32或64文件,安装后拷贝上面两个库到执行目录下即可。 2、使用Qt版小于5.12.4 如果你的Qt版本在Qt5.12.4之前,且你的
漏洞修复:RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
最新发布
weixin_54626591的博客
03-26 1715
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
RocketMQ学习笔记
weixin_34252686的博客
05-03 157
2019独角兽企业重金招聘Python工程师标准>>> ...
RocketMq 安装与使用
yanziyu0721730的博客
12-21 500
RocketMq 的git地址:https://github.com/apache/rocketmq/tree/master/docs/cn 下载rocketMq地址:https://www.apache.org/dyn/closer.cgi?path=rocketmq/4.7.1/rocketmq-all-4.7.1-source-release.zip 1. 下载完成如图所示: 2. 启动RocketMq ./mqnamesrv ./mqbroker -n 127.0.0.1:9876 autoC
RocketMQ 安装及快速入门
http://www.54tianzhisheng.cn/
02-09 9315
如果你对 RocketMQ 还没了解,建议先看下上一文章:RocketMQ 初探 安装条件 64位操作系统,建议使用 Linux / Unix / Mac; 64位JDK 1.8+; Maven 3.2.x 下载和构建 从 https://www.apache.org/dyn/closer.cgi?path=rocketmq/4.2.0/rocketmq-all-4.2....
企业信息化系列-风险.doc
11-21
错误的动机可能导致项目偏离初衷,无法产生实际效益。因此,企业在启动信息化项目前必须明确其目的,确保与公司的长期发展相一致。 其次,治理变革风险不容忽视。信息化不只是技术的升级,更是管理理念的革新。若...
预测09年芯片市场状况 AMD赢利Nvidia受挫
01-19
12月4日消息,据国外媒体报道,分析师日前对2009年芯片市场发展趋势进行了预测,认为已亏损两年的AMD有望于明年实现赢利,而Nvidia将遭遇有史以来严峻挑战。nVIDIA(全称为nVIDIA Corporation,NASDAQ:NVDA,中文名称...
半导体设备投资今年受挫.pdf
08-29
半导体设备投资今年受挫.pdf
大学生择业受挫与应对.docx
11-24
大学生择业受挫与应对.docx
当代大学生受挫能力的调查报告.doc
09-16
当代大学生受挫能力的调查报告.doc
Linux下安装RocketMQ及相关环境配置
nbme的博客
01-09 2207
前言 Apache Alibaba RocketMQ 是一个消息中间件。消息中间件中有两个角色:消息生产者和消息消费者。RocketMQ 里同样有这两个概念,消息生产者负责创建消息并发送到 RocketMQ 服务器,RocketMQ 服务器会将消息持久化到磁盘,消息消费者从 RocketMQ 服务器拉取消息并提交给应用消费。 官网http://rocketmq.apache.org/ 前提 安装Maven 安装步骤 1. 下载源码 更多版本https:/...
RocetMQ搭建攻略和问题解决之道
qq_40848737的博客
01-04 249
最近有在尝试给项目加入消息中间件服务,首先想到了鼎鼎大名的RocketMQRocketMQ是一款高性能的、分布式消息中间件,由阿里开源。它提供了丰富的消息拉取方式,能够处理上亿级的海量数据,甚至在阿里双十上经受了超大的请求峰值,其商业可用性值得依赖和使用。 安装方式比较简单,就是在Rocket官网去下载对应版本的压缩包。有两种选择,一种是binary版本,也就是编译好的bin文件压缩包。还有一种是source版,就是需要被编译的源码包。 我选择使用编译好的bin包,版本为最新的4.8.0。使用如下命令完成
RocketMQ源码分析之NameServer(上)
04-20 395
前序 前面几是关于RocketMQ的介绍,从这开始就根据源码具体解析,分支是master,版本号是4.4.0。 实例化 注册中心的主方法在org/apache/rocketmq/namesrv/NamesrvStartup.java,通过命令行启动可以读取入参配置的具体文件,根据启动命令配置的-c属性读取文件,并设置到注册配置类namesrvConfig和服务端通信配置类nettySer...
关于RocketMQ的启动时遇到的一些问题及解决方法
Ahjbvj的博客
06-09 3162
注意我们在启动的时候需要配置broker.conf,设置启动后运行的端口和IP地址,然后使用nohup sh bin/mqbroker -c conf/broker.conf &使用该配置文件后台启动RocketMQ,到此为止namesrv和broker都顺利启动了。使用sudo权限成功修改该文件,然后运行. /etc/profile命令让该文件起作用。对于RocketMQ的启动需要配置java环境,所以我们需要在linux上下载jdk,并配置JAVA_HOME。
RocketMQ(4) -- RocketMQ的单机安装与启动
姜皓的博客
04-27 683
RocketMQ的单机安装与启动
消息队列服务器安装失败,开发环境下的RocketMQ完整安装步骤、错误分析以及示例...
weixin_35713476的博客
08-03 753
在看这文章之前建议先看看先前架构原理介绍文章:RocketMQ服务器启动linux环境下载编译源码 # 下载$> wget wget http://mirror.bit.edu.cn/apache/rocketmq/4.6.0/rocketmq-all-4.6.0-source- ># 解压$>unzip rocketmq-all-4.7.0-source-release.zip...
java certificate_记录解决java.security.cert.CertificateException 问题过程
weixin_42512723的博客
02-23 3790
团队在开发过程中,突然发现有一个业务失常,该业务对接了另一个团队开发的IM SDK,报错异常如下为:java.security.cert.CertificateException:Domain specific configurations require that hostname aware checkServerTrusted(X509Certificate[], String, Strin...
记录解决java.security.cert.CertificateException 问题过程
JoeySheng的专栏-移动互联网技术发展博客
10-30 6662
团队在开发过程中,突然发现有一个业务失常
mariadb开启ssl
11-30
以下是在Mariadb中开启SSL的步骤: 1. 确保你的Mariadb版本支持SSL。可以通过以下命令检查: ```shell mysql --ssl --help ``` 2. 确保你的Mariadb服务器上已经生成了SSL证书和密钥。如果没有,请使用以下命令生成: ```shell openssl req -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem -out server-req.pem openssl rsa -in server-key.pem -out server-key.pem openssl x509 -req -in server-req.pem -days 3650 -signkey server-key.pem -out server-cert.pem ``` 3. 将证书和密钥文件复制到Mariadb服务器上,并将其放置在安全的目录中。例如,将证书和密钥文件复制到`/usr/local/mariadb/ssl/`目录下。 4. 修改Mariadb配置文件`my.cnf`,添加以下内容: ```shell [mysqld] ssl-ca=/usr/local/mariadb/ssl/server-cert.pem ssl-cert=/usr/local/mariadb/ssl/server-cert.pem ssl-key=/usr/local/mariadb/ssl/server-key.pem ``` 5. 重启Mariadb服务器以使更改生效。 ```shell systemctl restart mariadb ``` 6. 确认SSL已经启用。可以使用以下命令连接到Mariadb服务器并检查SSL状态: ```shell mysql -u root -p --ssl-mode=REQUIRED ``` 如果成功连接到Mariadb服务器,则表示SSL已经启用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

山鬼谣me

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值