我正在使用jersey-apache-client进行SSL连接。我在验证连接时收到握手错误。下面是握手错误。
WRITE: TLSv1 Change Cipher Spec, length = 1
Finished
verify_data: { 165, 117, 49, 237, 116, 71, 111, 175, 161, 237, 45, 30 }
WRITE: TLSv1 Handshake, length = 48
READ: TLSv1 Alert, length = 2
RECV TLSv1 ALERT: fatal, handshake_failure
%% Invalidated: [Session-1, TLS_DHE_RSA_WITH_AES_128_CBC_SHA]
如果我使用 jersey-client-1.13 并且没有收到握手错误,则代码工作正常。
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);
final ClientConfig config = new DefaultClientConfig();
config.getProperties().put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES, new HTTPSProperties(null, ctx));
Client create = Client.create(config);
create.resource(targetUrl).post();
不支持代理,所以我使用了 jersey-apache-client.1.18。在下面的代码中,我使用了DefaultApacheHttpClientConfig,添加了代理支持,使用ApacheHttpClient创建了客户端。
SSLContext ctx = SSLContext.getInstance("TLS");
ctx.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);
final DefaultApacheHttpClientConfig apacheConfig = new DefaultApacheHttpClientConfig();
final Map<String, Object> properties = apacheConfig.getProperties();
properties.put(DefaultApacheHttpClientConfig.PROPERTY_PROXY_URI, "http://" + proxyHost + ":" + proxyPort);
properties.put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES, new HTTPSProperties(null,ctx));
apacheConfig.getState().setProxyCredentials(AuthScope.ANY_REALM, proxyHost, Integer.parseInt(proxyPort),proxyUser, proxyPassword);
Client create = ApacheHttpClient.create(apacheConfig);
create.resource(targetUrl).post();
我找不到解决方案。在这两种情况下,证书都很好。
注意:我也尝试过没有代理的jersey apache客户端,但仍然存在错误。
有人发现出了什么问题吗?提前谢谢。
为泽西岛配置SSL套接字工厂,但是您使用的是泽西岛Apache连接器,因此SSL套接字工厂应直接在Apache HttpClient上配置。对于更高版本的 Jersey (2.x),这可能会为您完成,但对于 Apache 连接器和 Jersey 1.x,您需要配置它。像这样:
Protocol apacheProtocol = new Protocol("https", socketFactory, 443);
HostConfiguration hostConfig = new HostConfiguration();
hostConfig.setHost("your.hostname.org", 443, apacheProtocol);
HttpClient httpClient = new HttpClient();
httpClient.setHostConfiguration(hostConfig);
ApacheHttpClientHandler handler = new ApacheHttpClientHandler(httpClient);
Client client = new ApacheHttpClient(handler);
另一个问题是,如果您在泽西岛Web资源上使用绝对URI(设置主机名和端口),则带有自定义SSLSocketFactory的HostConfiguration将被覆盖 - 并且HttpClient将默认使用JVM的CA证书(至少对于Apache Client 3.1而言是正确的)。
如果这以前对您有用,您可能一直在使用 JVM 证书信任的证书。实际上,这里的一个选项是使用命令行密钥工具手动将您正在使用的证书添加到 JVM cacerts 文件中(尽管对于某些应用程序,这可能不是一个可接受的解决方案)。
基本上,此问题是由于本地JAVA和https站点之间的密码不匹配造成的。您可能需要为 JVM 安装 JCE 扩展。
使用 https://www.ssllabs.com/检查您的 REST API 是否支持 java,请查看此图像示例
如果显示如下,您可以从 http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 下载文件。完成后,将 JRE 的库/安全目录下的两个 JAR(local_policy.jar、US_export_policy.jar)替换为下载的软件包中的 JAR。
如果没有,请提供更详细的信息,以便我们详细检查。
在这里检查解决方案,我只是累了 如何调试 ssl 连接错误,它对我有用并节省了我的一天!