要求の開始時に例外が発生しました - ClientAuth SSL

Question

私はJettyを埋め込んでいるアプリケーションを持っています。私はSSLでクライアント証明書認証を使用したいと思います。要求の開始時に次の例外が発生しています。しかし、その後、リクエストは適切に処理されています。この例外は、IEまたはChromeからアクセスされた場合にのみ発生します。 Firefoxからアクセスしたときには表示されません。 SslSocketConnectorを拡張したカスタムSSLConnectorがあります。私はそれをデバッグしようとしています。チェックを開始できる特定の場所/コードがあるかどうかを知りたがっています。

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:808) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1112) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1139) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1123) 
     at org.mortbay.jetty.security.SslSocketConnector$SslConnection.run(SslSocketConnector.java:631) 
     at org.mortbay.thread.BoundedThreadPool$PoolThread.run(BoundedThreadPool.java:451) 
Caused by: java.io.EOFException: SSL peer shut down incorrectly 
     at com.sun.net.ssl.internal.ssl.InputRecord.read(InputRecord.java:333) 
     at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:789) 

更新：

私は、SSLのデバッグオプションを有効にし、すぐにServerHelloDoneメッセージの後、読み取りにこの例外を得ていました。これは、サーバーが証明書をクライアント証明書の要求とと​​もに送信するメッセージです。最初の読書で何が起きているのか分かりません。どんな援助も深く感謝しています。

*** ClientHello, TLSv1 
**** 
%% Created: [Session-1, TLS_RSA_WITH_AES_128_CBC_SHA] 
*** ServerHello, TLSv1 
*** Certificate chain 
*** 
*** CertificateRequest 
Cert Types: RSA, DSS 
Cert Authorities: 
*** ServerHelloDone 
WRITE: TLSv1 Handshake, length = 703 
received EOFException: error 
handling exception: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake 

アップデート：最新のJDKを更新 、23および有効/無効に二つの特性を試してみました。それでも同じ行動を取る。

詳細情報： TLSv1とSSLv3は、すべてのブラウザで有効です。クライアント認証が有効になっていなければ、通信は適切に行われています。クライアントの認証では、常に最初のハンドシェイクで例外が発生し、次は正常に処理され、例外なく処理されます。サーバー側でjettyバージョン6.1.14を使用

Answer 1

TLS/SSLv3ネゴシエーションでこのような問題が発生しました。 http://www.oracle.com/technetwork/java/javase/documentation/tlsreadme2-176330.html

SSL/TLSでは、どちらの側でも再交渉を開始できます。フェーズ1の修正と同様に、相互運用可能モードでアップグレードされていないピアと通信し、再ネゴシエーションを開始しようとするアプリケーション（SSLSocket.startHandshake()またはSSLEngine.beginHandshake()）はSSLHandshakeException（IOException）を受信し、接続はシャットダウンされます（handshake_failure）。非アップグレードピアから再ネゴシエーション要求を受け取るアプリケーションは、代わりに、接続の種類に応じて応答する。

• のTLSv1：タイプ「no_renegotiation（100）」の警告Alertメッセージをピアに送信され、接続は開いたままです。古いバージョンのSunJSSEは、「no_renegotiation」アラートが受信されたときに接続をシャットダウンします。
• SSLv3：アプリケーションはSSLHandshakeExceptionを受信し、接続は終了します（handshake_failure）。 （「no_renegotiationが」のSSLv3仕様で定義されていない）

これらのモードを設定するには、2つのシステムプロパティが使用される：

• sun.security.ssl.allowUnsafeRenegotiation - フェーズ1で導入され、これは、レガシー（安全でない）かどうかを制御します再交渉は許可される。
• sun.security.ssl.allowLegacyHelloMessages - フェーズ2で導入されました。これにより、適切なRFC 5746メッセージを要求せずに、ピアがハンドシェイクできるようになります。

それがまだ解決しない場合は、SSLのdedugをオンにし、ハンドシェイクを見てみてみることができます。
-Djavax.net.debug=all

Answer 2

最新のjdkをお試しください。彼らはSSLハンドシェークのバグを修正しました。 http://www.java.net/blogs/kumarjayanti/

Answer 3

これはTLS/SSLネゴシエーションの問題だと思っています。

デバッグ情報をポーズした後、TLSv1ハンドシェイクを行っていることが示されます。

ブラウザでTLSv1を有効にしてもよろしいですか？

クローム：クロームでTLS 1.0を有効にするために は、次の手順を実行します。Selectタブ "フードの下に"

[変更]をクリックしてオプション

を選択してください

：

1. レンチアイコンをクリックしますプロキシ設定
2. 「詳細設定」タブを選択
3. TLS 1.0を小さくしてチェックする
4. 開いているブラウザをすべて閉じて再起動します。

IE：

2. [ツール]メニューをクリックし
3. スクロールTLS 1.0

のFirefoxを有効

セキュリティ]セクションに[詳細設定]タブインターネットオプション

をクリックします：

1. [ツール]をクリックします
2. [オプション]をクリックします
3. [詳細設定]タブ
4. 暗号化]タブ
5. あなたは、その後もいることに言及TLS 1.0

を有効にする：

はこれがありますメッセージは、その証明書を クライアント証明書の要求と共に送信します。

テストしている各Webブラウザにクライアント証明書をインストールしましたか？

最初に相互/クライアント認証を行わずにすべての機能を使用できるようにしてから、動作したら元に戻してください。

Answer 4

私は誤ってURLに非SSLポートを入れたが、httpsでURLを開始したときにこれを取得しました。 Doh。

時には最も簡単な解決策は、私たちが忘れているものです！