У меня старый Weblogic 11g, где я пытаюсь подключиться через удаленный URL-адрес в HTTPS с использованием TLSv1.2.
У меня следующая ошибка:
javax.net.ssl.SSLException: Received fatal alert: handshake_failure
Что ясделали:
- импортировали сертификаты (серверные, промежуточные и корневые) и ключ в хранилище ключей JKS
- установили хранилище ключей в weblogic
- активировали JSSE SSL в weblogic
- включил полную отладку SSL
- пробовал как с JDK7, так и с JDK8 (одинаковое поведение)
Отладка SSL сообщает об этом:
*** ClientHello, TLSv1.2
RandomCookie: GMT: 1525773762 bytes = { 197, 245, 78, 146, 106, 84, 201, 66, 238, 65, 60, 169, 137, 160, 237, 47, 29, 177, 82, 179, 112, 112, 86, 101, 253, 146, 29, 147 }
Session ID: {}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods: { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
Extension signature_algorithms, signature_algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA224withECDSA, SHA224withRSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA, MD5withRSA
***
[write] MD5 and SHA1 hashes: len = 193
Как вы видите, отсутствует голос, связанный с расширением имени сервера :
Extension server_name, server_name: [host_name: ... ]
Я думаю, что это является причиной сбоя рукопожатия, потому что я получаю тот же эффект, используяследующая команда:
openssl s_client -connect <%host.domain%>:443
CONNECTED(00000005)
4641384044:error:14004410:SSL routines:CONNECT_CR_SRVR_HELLO:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-22.200.4/libressl-2.6/ssl/ssl_pkt.c:1205:SSL alert number 40
4641384044:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-22.200.4/libressl-2.6/ssl/ssl_pkt.c:585:
, в то время как следующая команда (которая задает идентификатор имени службы) работает отлично:
openssl s_client -connect <%host.domain%>:443 -servername '<%host.domain%>'
Я думаю, что по какой-то причине JSSE или, возможно, JDKне устанавливать параметр SNI на шаге ClientHello.
Есть ли возможность настроить его для принудительного использования расширения SNI?