我有一个RabbitMQ服务器(RabbitMQ 3.6.0版本,Erlang OTP 18.1(,它只支持TLSv1.2和密码{ecdhe_cdsa,aes_256_cbc,sha384}。我正在尝试使用AMQP从Java客户端连接到它。源代码如下:
final SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
SSLContext.setDefault(context);
final String[] enabledCipherSuites = { "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384" };
final SSLParameters defaultParams = context.getDefaultSSLParameters();
defaultParams.setCipherSuites(enabledCipherSuites);
final SSLParameters supportedParams = context.getSupportedSSLParameters();
supportedParams.setCipherSuites(enabledCipherSuites);
ConnectionFactory factory = new ConnectionFactory();
factory.useSslProtocol(context);
factory.setHost(RABBITMQ_ADMIN_HOST);
factory.setPort(RABBITMQ_CLIENT_PORT_SSL);
factory.setUsername(RABBITMQ_ADMIN_USER);
factory.setPassword(RABBITMQ_ADMIN_PWD);
return factory.newConnection();
以下是RabbitMQ配置文件中的一个片段:
{ssl_options, [{cacertfile, "cacert.pem"},
{certfile, "cert.pem"},
{keyfile, "key.pem"},
{verify, verify_peer},
{versions, ['tlsv1.2']},
{ciphers, [{ecdhe_ecdsa,aes_256_cbc,sha384}]},
{fail_if_no_peer_cert, true}]}
问题是,当客户端尝试连接到服务器时,服务器不允许连接,并出现以下错误:
=ERROR REPORT==== 4-Aug-2016::23:15:24 ===
SSL: hello: tls_handshake.erl:167:Fatal error: insufficient security
在客户端,我们看到一个Java异常被抛出,看起来像这样:
Received fatal alert: insufficient_security
Thread-1 sun.security.ssl.Alerts.getSSLException(Alerts.java:192),
sun.security.ssl.Alerts.getSSLException(Alerts.java:154),
sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1991),
sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1098),
sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1344),
sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:721),
sun.security.ssl.AppOutputStream.write(AppOutputStream.java:122),
java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:82),
java.io.BufferedOutputStream.flush(BufferedOutputStream.java:140),
java.io.DataOutputStream.flush(DataOutputStream.java:123),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:129),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:134),
com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:277),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:678),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:722)
有趣的是,尽管在默认和支持的ssl参数中设置了修改后的密码套件,但当我们记录支持和默认的密码套件时,它也显示了不应该允许的所有其他内容!!我用以下额外的Java命令行参数启动客户端:
-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-Ddeployment.security.TLSv1.2=true
-Ddeployment.security.TLSv1.1=false
-Ddeployment.security.SSLv3=false
此外,在启动客户端时,我记录了启用和默认的密码套件。它显示了一整套密码套件,而不仅仅是我指定的那个。
有人能帮我想办法解决这个问题吗?任何可以帮助我调试的指针都会非常有帮助。
问题可能与Centos上的ECDHE有关,请参阅本文:https://www.internetstaff.com/enable-elliptical-curve-diffie-hellman-ecdhe-linux/
问题是Diffie-Hellman算法非常慢。这个可以使用椭圆曲线Diffie-Hellman在很大程度上偏移(ECDHE(。Red Hat/Cents/Fedora/Amazon Linux的问题用户认为Red Hat有意禁用ECDHE密码(其他人(,因为他们不确定围绕他们的专利问题。
我建议阅读以下内容:http://erlang.org/pipemail/erlang-questions/2013-1December/07632.html
以及这个(我的(线程:http://erlang.org/pipemail/erlang-questions/2016-July/089797.html
我解决了避免使用ECDHE密码客户端的类似问题。