Сбой рукопожатия SSL Websphere 1 из 2 серверов

Question

Настройка:

• 2 сервера websphere (8.5 fixpack 13), оба (на первый взгляд) одинаковые настройки.
• 1 приложение (ухо с 2 войнами)

Проблема:

Сбой SSL-квитирования для 1 из 2 серверов.Я включил ведение журнала для отладки SSL и обнаружил следующее различие между серверами:

Хороший сервер :

[18/18/18 8:08: 52: 466 CET] 0000017d SystemOut O Клиентский ключ записи:[18/18/18 8: 08: 52: 466 CET] 0000017d SystemOut O 0000: 3d 82 67 06 09 d0 a8 93 01 8f 42 93 e3 24 6d c0 ..g ....... B ...м. 0010: 76 cb 4a 7f b9 a7 3e 61 c7 ac ca 60 08 77 a5 a0 vJ ... a ..... w ..

[18/18/18 8: 08: 52: 466 CET] 0000017d SystemOut O Серверный ключ записи:[18/18/18 8: 08: 52: 466 CET] 0000017d SystemOut O 0000: ad d4 83 5c b2 6f e8 ad a5 7e 5d 50 39 04 78 74 ..... o ..... P9.xt 0010: f7 7f 2d 73 c7 1f aa f0 5c 72 ac ce a5 cc 76 21 ... s ..... r .... v.

Неисправный сервер :

[18.12.18 8: 08: 51: 817 CET] 0000013d ​​SystemOut O Ключ записи клиента:[18/18/18 8: 08: 51: 817 CET] 0000013d ​​SystemOut O 0000: 2f 67 20 ee 13 d6 22 03 d6 aa bc 78 ca bf a9 0a .g ......... x ....

[18.12.18 8: 08: 51: 817 CET] 0000013d ​​SystemOut O Ключ записи сервера:[18.12.18 8: 08: 51: 817 CET] 0000013d ​​SystemOut O 0000: fc 64 13 e2 98 00 afc 10 ae 34 80 fb 2c ab 5d .d ........ 4 .....

[18.12.18 8: 08: 51: 817 CET] 0000013d ​​SystemOut O ... нет IV для этого протокола[18/18/18 8: 08: 51: 817 CET] 0000013d ​​SystemOut
O JsseJCE: Использование подписи SHA512 с RSA от провайдера TBD через init[18/18/18 8: 08: 51: 818 CET] 0000013d ​​Сигнатуры SystemOut O: Использование подписи RSA от провайдера из initSignIBMJCE версии 1.8[18/18/18 8: 08: 51: 821 CET] 0000013d ​​SystemOut O CertificateVerify[18/18/18 8: 08: 51: 821 CET] 0000013d ​​SystemOut
O Алгоритм подписи SHA512 с RSA[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O JsseJCE: Использование KeyGenerator IbmTls12Prf от провайдера TBD через init[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O РукопожатиеСообщение: Генератор ключей TLS IbmTlsPrf от провайдера из init IBMJCE версии 1.8[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O Веб-контейнер: 0, ЗАПИСЬ: TLSv1.2 Рукопожатие, длина = 136[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O WebContainer: 0, ЗАПИСЬ: TLSv1.2 Изменить спецификацию шифра, длина = 1[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O JsseJCE: Использование шифра AES / CBC / NoPadding от провайдера TBD через init[18/18/18 8: 08: 51: 822 CET] 0000013d ​​SystemOut O CipherBox: Использование шифра AES / CBC / NoPadding от провайдера из init IBMJCE версии 1.8[18/18/18 8: 08: 51: 823 CET] 0000013d ​​SystemOut O JsseJCE: Использование MAC HmacSHA1 от TBD провайдера через init[18/18/18 8: 08: 51: 823 CET] 0000013d ​​SystemOut O MAC: использование MessageDigest HmacSHA1 от провайдера IBMJCE версии 1.8[18/18/18 8: 08: 51: 823 CET] 0000013d ​​SystemOut O Завершено[18/18/18 8: 08: 51: 823 CET] 0000013d ​​SystemOut O verify_data: {150, 40, 219, 56, 139, 255, 165, 51, 71, 246, 110, 176}[18/12/18 8: 08: 51: 824 CET] 0000013d ​​SystemOut O[18/18/18 8: 08: 51: 824 CET] 0000013d ​​SystemOut O WebContainer: 0, ЗАПИСЬ: TLSv1.2 Рукопожатие, длина = 64[18/18/18 8: 08: 51: 876 CET] 0000013d ​​SystemOut O WebContainer: 0, READ: TLSv1.2 Изменить спецификацию шифра, длина = 1[18/18/18 8: 08: 51: 876 CET] 0000013d ​​SystemOut O JsseJCE: Использование шифра AES / CBC / NoPadding от провайдера TBD через init[18/18/18 8: 08: 51: 876 CET] 0000013d ​​SystemOut O CipherBox: Использование шифра AES / CBC / NoPadding от провайдера из init IBMJCE версии 1.8[18/18/18 8: 08: 51: 876 CET] 0000013d ​​SystemOut O JsseJCE: Использование MAC HmacSHA1 от провайдераTBD через init[18/18/18 8: 08: 51: 877 CET] 0000013d ​​SystemOut O MAC: использование MessageDigest HmacSHA1 от провайдера IBMJCE версии 1.8[18/18/18 8: 08: 51: 877 CET] 0000013d ​​SystemOut O WebContainer: 0, ЧИТАТЬ: TLSv1.2 Рукопожатие, длина = 64[18/18/18 8: 08: 51: 877 CET] 0000013d ​​SystemOut O Завершено[18/18/18 8: 08: 51: 877 CET] 0000013d ​​SystemOut O verify_data: {217, 179, 178, 151, 190, 135, 169, 219, 85, 206, 55, 194}[18/18/18 8: 08: 51: 878 CET] 0000013d ​​SystemOut O[18/18/18 8: 08: 51: 878 CET] 0000013d ​​SystemOut O JsseJCE: Использование KeyGenerator IbmTls12Prf от провайдера TBD через init[18/18/18 8: 08: 51: 878 CET] 0000013d ​​SystemOut O РукопожатиеСообщение: Генератор ключей TLS IbmTlsPrf от поставщика из init IBMJCE версии 1.8[18.12.18 8: 08: 51: 878 CET] 0000013d ​​SystemOut O %% Кэшированный сеанс клиента: [Session-129, SSL_RSA_WITH_AES_128_CBC_SHA][18/18/18 8: 08: 51: 895 CET] 0000013d ​​SystemOut O WebContainer: 0, ЗАПИСЬ: TLSv1.2 Данные приложения, длина = 336[18/18/18 8: 08: 51: 895 CET] 0000013d ​​SystemOut O WebContainer: 0, ЗАПИСЬ: TLSv1.2 Данные приложения, длина = 5984[18/18/18 8: 08: 52: 053 CET] 0000013d ​​SystemOut O WebContainer: 0, READ: TLSv1.2 Данные приложения, длина = 1008[18/12/18 8: 08: 52: 054 CET] 0000013d ​​SystemOut O WebContainer: 0, вызывается close ()[18/12/18 8: 08: 52: 054 CET] 0000013d ​​SystemOut O WebContainer: 0, называется closeInternal (true)[18/18/18 8: 08: 52: 054 CET] 0000013d ​​SystemOut O WebContainer: 0, ОТПРАВИТЬ TLSv1.2 ALERT: предупреждение, описание = close_notify[18/18/18 8: 08: 52: 054 CET] 0000013d ​​SystemOut O WebContainer: 0, ЗАПИСЬ: TLSv1.2 Предупреждение, длина = 48[18/18/18 8: 08: 52: 054 CET] 0000013d ​​SystemOut O WebContainer: 0, вызывается closeSocket (true)[18/18/18 8: 08: 52: 603 CET] 0000013d ​​SystemOut O Протокол SSLv3 был запрошен, но не включен[18.12.88: 08: 52: 604 CET] 0000013d ​​SystemOut O

Как я отмечал на хорошем сервере, я вижу в ключе записи клиента и сервера часть 0010, чего нет на плохом сервере.Я предполагаю, потому что это не там рукопожатие SSL терпит неудачу, что приводит к неудачному вызову

Мы используем много веб-сервисов, у нас проблемы только с 2 конечными точками, а остальные конечные точки работают хорошо на обоих серверах.

Если кто-то может указать мне направление поиска, я буду очень благодарен.

Редактировать:

• Попробовал добавить: -Dcom.ibm.jsse2.overrideDefaultTLS=true какпараметр запуска, но он не помог.

Answer 1

Похоже, что безопасность на плохом сервере была настроена со стандартом вместо более безопасной версии для США:

• JDK / jre / lib / security / local_policy.jar
• JDK/jre/lib/security/US_export_policy.jar

Вы можете найти больше объяснений в этой статье о Dzone.