jdk6出现peer not authenticated问题原因分析与解决

最新推荐文章于 2018-08-25 11:49:44 发布
最新推荐文章于 2018-08-25 11:49:44 发布
阅读量1.4k 收藏 2
点赞数
文章标签: java 运维 python
原文链接:https://my.oschina.net/u/1164681/blog/863363
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

由于公司系统与其他系统进行通讯,时不时报出“peer not authenticated”这个错误,于是对这个错误进行分析。

一、场景重现

  1. 一台tomcat,自制证书,配置https方式访问,怎么用jdk生成密钥,怎么配置,网上很多文章,tomcat的server.xml配置如下(不需要放项目,空项目启动即可)
  2. <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
			   keystoreFile="e:/tomcat.keystore" keystorePass="tomcat"/>
  3. 浏览器可以直接访问221519_vUxz_1164681.png
  4. java客户端用httpclient访问(httpURLConnection一样的,底层都是socket)
  5. 客户端用jdk6访问,报错:peer not authenticated
  6. 客户端将jdk改为jdk8,可以成功请求。

二、先说解决方案

针对服务端用tomcat,客户端用jdk6造成这个报错的情况,先说下解决方案,主要有以下几个,1和2为客户端修改,3和4为服务端修改

  1. 客户端将jdk修改为1.8
  2. 客户端修改jdk源码,将sun.security.ssl.ProtocolVersion(jdk1.6)的DEFAULT_HELLO设置为“TLSv1”,并替换原有jdk中该类(1.8在sun.security.ssl包中),jdk8默认就是使用TSLv1 
  3. 服务端改用nginx做代理,在nginx上配置https(亲测可行)
  4. 服务端tomcat的service.xml的connector中配置sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,SSLv2Hello",即增加SSLv2Hello的支持  

 211937_uKZl_1164681.png

(1.6的ProtocolVersion类,设置FIPS为true也可)

三、问题分析流程

    1. 网上找资料,发现很多说要自己配置一个X509TrustManager跳过证书验证,实际上这一点已经做了,然而没有解决问题。

    2. 分析https的socket工作原理流程图如下

       

(https通讯流程)

      

    3. 经过堆栈查看,发现证书不存在,也就是说重写X509TrustManager是绕过证书验证,但问题是连服务器的证书都未获取到,如何绕过验证呢?所以网上这些文章未解决这个问题。(图1为jdk6时的堆栈信息,certs为null,图2为jdk8时候的堆栈信息,获取到了certs)

    164447_6Eey_1164681.png

(jkd6 httpclient未获取到服务器证书)

165120_gAAC_1164681.png

(jdk8 httpclient获取到了服务器证书)

    4. ok,那既然jdk6不行,jdk8可以,那么这两者发的消息有什么不一样呢?客户端请求代码中加上这一段:

System.setProperty("javax.net.debug","ssl");

将socket通讯记录打印出来,发现在client发送Hello请求的时候,

jdk6是这样的:

main, WRITE: TLSv1 Handshake, length = 81
main, WRITE: SSLv2 client hello message, length = 110
main, READ: TLSv1 Alert, length = 2
main, RECV TLSv1 ALERT:  fatal, handshake_failure

 165632_M5tS_1164681.png

(jdk6打印socket日志)

jdk8是这样的:

main, WRITE: TLSv1.2 Handshake, length = 235
main, READ: TLSv1 Handshake, length = 686;

 170304_KH8O_1164681.png

 (jdk8打印socket日志)

jdk6用的SSLv2,jdk8用的TLSv1

    5. 那么服务端的tomcat是如何处理的呢?(服务端用的tomcat6+jdk6,经测试,tomcat8+jdk8是一样的情况)

jdk1.6发送过来的SSLV2Hello请求,被handleUnknowRecord这个方法处理,其中有个判断

if(this.helloVersion != ProtocolVersion.SSL20Hello){

    throw new SSLHandshakeException("SSLv2Hello is disabled").

 }

从这里抛出了异常,所以没有返回证书,握手失败。但是jdk1.8则走的readV3Record方法,正常执行,就不深入看代码了。

 173415_kUwz_1164681.png

 173503_Rb9e_1164681.png

173839_3RIf_1164681.png

(jdk6请求时,服务端走handleUnknowRecord,可以看到,this.helloVersion是TLSv1,而不是SSLv2Hello,抛出异常,服务端不返回证书)

 173539_lwRF_1164681.png

173557_uWWs_1164681.png

    6.  那么就有疑问了,客户端发出的是SSLV2的握手请求,但是服务端说“你的握手请求,不是SSLV2的请求,所以不允许通过”,!!!!!???!?!?!??!?!?这不是自己打脸么。。

好吧,那么继续看服务端源代码解答疑问。

    7. tomcat接收socket处理流程

        1)tomcat接收socket,tomcat是采用2个线程在处理的,一个是接收线程,一个是任务处理线程,接收线程接收请求后进行初始化,然后交给任务线程去处理(两者处理的socket对象id相同),所以我们看到当有socket请求的时候,tomcat这边的堆栈是这样一个情况:

200551_s6gA_1164681.png

    2)接收线程接收到后,要进行初始化,在com.sun.net.ssl.internal.ssl.InputRecord的setHelloVersion方法打个断点,跟进堆栈。接收者通过阻塞队列,接收到socket请求

204409_kv9D_1164681.png

    3)进入serverSocketFactory.acceptSocket(serverSocket)方法,acceptSocket接收到socket,并执行doneConnect这个方法进行一些参数设置。

204238_Y56l_1164681.png

    4)那么我们看下localSSLSocketImpl.doneConnect();这段代码中,localSSLSocketImpl的握手协议是什么?会发现,刚进入时候,握手协议是SSLv2Hello

 210022_867p_1164681.png

    5)一层层跟进,发现有一处对这个对象的helloVersion做了改动,代码如下:

213410_oXbg_1164681.png

    6)那么这个localProtocolVersion是哪里来的呢?一层层往外找,发现最外层传进来的,为this.enabledProtocols,并且看到this.enabledProtocols里面的值即为TLSv1

 212755_GtZD_1164681.png

   8.修改下tomcat server.xml配置,增加sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,SSLv2Hello",明确使其支持SSLv2Hello协议,再调试一遍,发现this.enabledProtocols的helloVersion变为了SSLv2Hello

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,SSLv2Hello"
               keystoreFile="e:/tomcat.keystore" keystorePass="tomcat"/>

214023_1dqr_1164681.png

结论

通过分析发现

1、jdk6如果FIPS是false(干啥用的我也不清楚,其他时间再学习),默认用SSLv2Hello协议发送hello请求,而jdk8则默认用TLSv1

2、如果服务器是tomcat,tomcat如果未明确配置sslEnabledProtocols支持"SSLv2Hello",则默认为TLSV1,不支持SSLv2Hello

3、tomcat接收到客户端socket的hello请求后,强制将协议改为TLSV1

4、根据socket的握手报文数组中第一个元素的内容是否为20或22,jdk6发出来的请求将会调用handleUnknowRecord方法(jdk8发出来的走readV3Record方法,具体为何没必要继续研究)

5、handleUnknowRecord方法中会判断,如果协议非SSLv2Hello,则不允许通过,不会给客户端返回证书,服务端报错“SSLV2Hello is disabled”,客户端报错“peer not authenticated”

其他说明

1、tomcat源码运行,只需自己新建maven项目,并将下载的源码中conf和java包分别放入新项目的代码和conf中即可,并且需要配置conf的输出目录,tomcat有读文件的控制

2、推荐不要用tomcat配置证书,用nginx配置证书比较好

3、TLS可以理解为SSL的升级版本,更安全,SSL有漏洞,所以tomcat开启也不要开启对SSL的支持,而是只开启SSLv2Hello的支持

 

转载于:https://my.oschina.net/u/1164681/blog/863363

weixin_34000916
关注
解决httpClient调用https的peer not authenticated终极解决方法_By christiecat
christiecatcat的博客
10-12 434
peer not authenticated
SoapUI测试Https请求,解决问题SSLPeerUnverifiedException: peer not authenticated
weiqing723的博客
12-22 9729
HTTPS在客户端和服务器端通过添加安全层(TLS/SSL)提供了一个保护性的连接。客户端需要服务器端提供认证,服务器同样需要客户端提供一个认证,这就导致了当使用soapUI测试HTTPS请求时会报错:SSLPeerUnverifiedException: peer not authenticated。 为了解决这个问题,我们需要在SoapUI中添加认证,为了测试简便,可以添加全局的认证从而访问任
执行Gradle clean命令后,报错:peer not authenticated
zh515858237的专栏
05-09 3886
现象: * What went wrong: A problem occurred configuring root project 'Android'. > Could not resolve all dependencies for configuration ':classpath'. > Could not download artifact 'gradle-core.jar
避免HttpClient的”javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated”异常
ASD1415926的专栏
10-06 9236
在开发https应用时,你的测试服务器常常没有一个(有效的)SSL证书。在你的客户端连接测试服务器时,如下的异常会被抛出:”javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated”。 解决方案:修改创建HttpClient的方式 分析: 1.需要告诉client使用一个不同的TrustManager。TrustMana
关于httpclient peer not authenticated问题
qweqwe
11-17 459
  本文属于原创,更多详细信息查看:http://www.pm-road.com/index.php/2014/08/22/78/ 出现问题主要原因是因为在请求过程中证书的问题;有些客户端并未安装服务器要求的证书,所以会产生此问题,以下是部分报错代码: javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated a...
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated 异常处理
任香980101
01-05 280
引用: http://javaskeleton.blogspot.com/2010/07/avoiding-peer-not-authenticated-with.html When developing a https application, your test server often doesn't have a (valid) SSL certificate. This w...
jdk7下httpclient请求https问题
HJQQINGQING的专栏
08-01 2787
今天和商户技术解决httpclient请求https问题,对方一直提示“javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated”,无论我怎么调试都不行,最后他先对方使用的jdk7(我本地使用的是jdk6),原来JDK7 has changed the default Java security settings to dis
建kafka gradle工程解决证书认证问题
石权的博客
07-11 3793
Down了份kafka confluent特供版本,对应版本号是3.0.0。创建gradle工程,提示认证不过,提示”Cause: peer not authenticated “之类的。 1. 用浏览器访问对应的网站(都访问不通就不要继续了); 2. 导出证书,各浏览器差别不大; 3. 将证书导入jre
httpclient请求报No trusted certificate found, peer not authenticated 解决方案
莫生气--拒绝空谈,开始行动
02-24 1371
在使用httpclient进行https 请求访问时,报下面两种错误: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found javax.net.ssl.SSLPeerUnverifiedException: peer not au...
HttpClient javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
雪水
02-16 8032
最近在调用一些https的接口,然后采用的认证方式是用户名+密码。 这个时候调用接口则会提示httpclient未认证的错误,导致接口无法调用: HttpClient javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated。 下面是我找到的解决方法。 方法一: httpClient jar包版本为4.1.x
httpclient 出现peer not authenticated 问题解决 https
taking_wang的专栏
04-20 4804
用下面的代码就可以搞定。例子代码使用httpclient4.1 import java.security.cert.X509Certificate; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManager; import javax.net.ssl.X509TrustManager; impor
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
热门推荐
麦叔
05-08 2万+
Hello,小伙伴好久不见!今天在联调接口时,遇到一个错误,纠结了好久才解决.虽然是粗心引起的,但是也大概明白了引起这个错误的来龙去脉,现在整理一下,分享给大家,希望大家在遇到这个类似问题了,不会太无助; 前言 我们来看下问题发生的大背景;这次我们联调是一个获取单笔订单详情的接口,采用https请求方式.我方是请求方,现需请求能力开发平台(对方)的接口 1.Https加密认证过程是什...
导入项目报异常:Cause: peer not authenticated
json_yi的博客
08-20 4540
 在gradle 中首先 classpath 'com.tencent.mm:AndResGuard-gradle-plugin:1.2.3'  然后添加: repositories { jcenter { url "http://jcenter.bintray.com/" } } repositories { maven { ...
Error:Cause: peer not authenticated
我的博客
08-18 1211
导入别人的项目时出现这个错误----->Error:Cause: peer not authenticated 自己的平台的版本。。。。
AS出现Error:Cause: peer not authenticated
追梦赤子心
09-07 1954
有时导入一些项目时,出现这个错误!导致项目无法构建。 解决办法很简单,修改gradle的版本号!如下图:将gradle的版本 2.1.2 改为 2.3.2 改好重构一下就可以了
android studio Error:Cause: peer not authenticated解决方案
丶鹏
02-17 2533
问题 : Error:Cause: peer not authenticated解决办法: 将build.gradle中的android studio版本改成当前版本就好了,我的是preview9,改完后try Again就行了
Cause: peer not authenticated
有兴趣深入交流
08-25 7003
问题:导入github上下载的demo编译报错,Cause: peer not authenticated 解决方法:两步:1.将build.gradle下面的as配置项改成自己可以运行项目的配置项 classpath 'com.android.tools.build:gradle:2.3.1'                                  2.将项目根目录下可以的gr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值