服务器升级后的"SSL23_GET_SERVER_HELLO:unknown协议“
最近,我们用tomcat 7.0.57和java版本"1.8.0_45“构建了新的Windows2012服务器。
当从客户端openssl连接时,我会遇到以下错误。但在IE公司工作得很好。
新服务器:
OpenSSL> s_client -connect xxx.xxx.xxx.xxx:443
Loading 'screen' into random state - done
CONNECTED(00000130)
5724:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:.\ssl\s
23_clnt.c:601:
OpenSSL>旧服务器:(连接良好)
OpenSSL> s_client -connect yyy.yyy.yyy.yyy:443
Loading 'screen' into random state - done
CONNECTED(00000114)
depth=1 /C=XX/O=YYYY CA1
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
.........
SSL handshake has read 3064 bytes and written 282 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : EDH-RSA-DES-CBC3-SHA
.......有人能说出为什么会这样吗?
新服务器: Windows 2012 R2 / java版本"1.8.0_45"/ Tomcat 7.0.57
旧服务器: Windows 2003 / java版本"1.6.0_31"/ Tomcat6.0
客户端: Windows 7/ Java 1.7.0_75
回答 1
Stack Overflow用户
发布于 2015-10-15 16:24:27
默认情况下,Java1.8和Tomcat 7.0.57及以后都禁用SSLv3,默认情况下Java1.8禁用SSLv2Hello,OpenSSL默认使用SSLv2Hello和SSLv3,因此协议不匹配,双方无法正确完成SSL/TLS握手。
如果要从OpenSSL s_client连接,请使用-tls1开关(或-tls1_1等)。你应该能联系上。
如果希望在Tomcat中重新启用SSLv3,请阅读Tomcat用户指南的配置部分,特别是关于sslEnabledProtocols和sslProtocol属性的内容。
编辑2015-10-19 16:40美国/纽约
以上内容适用于基于Java的连接器,这些连接器使用JVM的内置JSSE进行加密。如果使用本机APR基连接器,则将使用OpenSSL。OpenSSL的默认行为将取决于您安装的版本.随着最新版本的发布,默认协议已经被修改。
只要底层库(JSSE或OpenSSL)支持协议,就可以始终使用Tomcat的配置来启用任何协议。
如果您选择一个支持的协议(例如,OpenSSL -> TLSv1握手、TLSv1.1 -> TLSv1.1握手等),则会使用特定于协议的确切握手。但如果您启用了多个协议(例如,SSLv2hello ),则将使用SSLProtocol="TLSv1+TLSv1.1"。这是在SSLProtocol属性Tomcat的HTTP连接器下记录的。
如果您不确定,请对启用的协议非常具体(不管连接器类型如何),并始终使用可靠的测试套件进行测试,以确定哪些协议得到了正确的支持。
https://stackoverflow.com/questions/33139776
复制相似问题
腾讯云开发者
