24 
Server: 
TLS Version: v1.2
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 

Client:
JRE 1.7

当我尝试通过 SSL 直接从客户端连接到服务器时,我收到以下错误:

Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)

以下代码启用 TLSv1.2

  Set<String> enabledTLSSet = new HashSet<String>(Arrays.asList(sslsocket.getEnabledProtocols()));
  enabledTLSSet.add("TLSv1.2");      
  sslsocket.setEnabledProtocols(enabledTLSSet.toArray(new String[enabledTLSSet.size()]));

以下代码启用 TLS_RSA_WITH_AES_256_CBC_SHA256 密码套件:

Set<String> enabledCipherSuitesSet = new HashSet<String>(Arrays.asList(sslsocket.getEnabledCipherSuites()));
      enabledCipherSuitesSet.add("TLS_RSA_WITH_AES_256_CBC_SHA256");
      sslsocket.setEnabledCipherSuites(enabledCipherSuitesSet.toArray(new String[enabledCipherSuitesSet.size()]));

从 Java 代码完成上述两项操作后,我能够通过 SSL 成功连接到服务器。

是否可以在不通过属性、参数或调试道具更改任何 Java 代码的情况下启用/强制TLSv1.2和在 Java 7 中?TLS_RSA_WITH_AES_256_CBC_SHA256

我以所有形式和组合(启用和禁用)尝试了以下所有属性,但失败了。

-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256
-Ddeployment.security.TLSv1.2=true

我正在执行类似于以下的程序:

java -jar -Dhttps.protocols=TLSv1.2 -Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256 Ddeployment.security.TLSv1.2=true -Djavax.net.debug=ssl:handshake SSLPoker.jar <SERVER> 443

SSLPoker 包含以下代码:

package com.ashok.ssl;

import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
import java.io.*;

/**
 * Establish a SSL connection to a host and port, writes a byte and prints the response - Ashok Goli. See
 * http://confluence.atlassian.com/display/JIRA/Connecting+to+SSL+services
 */
public class SSLPoke {

  /**
   * The main method.
   * Usage: $java -jar SSLPoker.jar <host> <port>
   *
   * @param args the arguments
   */
  public static void main(String[] args) {
    if (args.length != 2) {
      System.out.println("Usage: " + SSLPoke.class.getName() + " <host> <port>");
      System.exit(1);
    }
    try {
      SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
      SSLSocket sslsocket =
          (SSLSocket) sslsocketfactory.createSocket(args[0], Integer.parseInt(args[1]));

      InputStream in = sslsocket.getInputStream();
      OutputStream out = sslsocket.getOutputStream();

      // Write a test byte to get a reaction :)
      out.write(1);

      while (in.available() > 0) {
        System.out.print(in.read());
      }
      System.out.println("Successfully connected");

    } catch (Exception exception) {
      exception.printStackTrace();
    }
  }
}

任何指针如何在不更改 Java 代码的情况下实现这一点将不胜感激。

4

3 回答 3

19

只有使用属性的简单 HTTPS 连接(不是 SSL 套接字)才有可能

-Dhttps.protocols=TLSv1.2 
-Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256

请参阅http://fsanglier.blogspot.com.es/上的帖子

Java 7 引入了对 TLS v1.2 的支持(请参阅 http://docs.oracle.com/javase/7/docs/technotes/guides/security/enhancements-7.html)但默认情况下不启用它。换句话说,您的客户端应用程序必须在创建 SSLContext 时明确指定“TLS v1.2”,否则将无法使用它。

如果您需要直接使用安全套接字协议,请在应用程序启动时创建一个“TLSv1.2”SSLContext,并使用 SSLContext.setDefault(ctx) 调用将该新上下文注册为默认上下文。

SSLContext context = SSLContext.getInstance("TLSv1.2");
SSLContext.setDefault(context);
于 2016-06-01T18:47:56.800 回答
8

JRE 默认禁用所有 256 位加密。要启用此功能,您可以在此处下载Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Fileshttp ://www.oracle.com/technetwork/java/javase/downloads/index.html

local_policy.jarUS_export_policy.jar jar 文件替换到 jre 目录中的 lib/security 中。

于 2017-06-02T12:39:35.533 回答
3

看起来当前的 JRE 在 JRE 的安装文件夹下提供了有限和无限的策略文件lib/security,每个文件都位于单独的子文件夹中。默认情况下,在 中lib/security/java.security,默认使用该limited策略。但是如果您取消注释该crypto.policy=unlimited行,这将允许 Java 使用unlimited策略文件并启用 256 位密码/算法。

于 2017-11-28T19:04:39.537 回答