![](/img/trans.png)
[英]Self-signed SSL certificate with only TLS_RSA_WITH_AES_256_CBC_SHA cipher suite
[英]Enable TLSv1.2 and TLS_RSA_WITH_AES_256_CBC_SHA256 Cipher Suite
Server:
TLS Version: v1.2
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256
Client:
JRE 1.7
当我尝试直接通过 SSL 从客户端连接到服务器时,我收到以下错误:
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
以下代码启用 TLSv1.2
Set<String> enabledTLSSet = new HashSet<String>(Arrays.asList(sslsocket.getEnabledProtocols()));
enabledTLSSet.add("TLSv1.2");
sslsocket.setEnabledProtocols(enabledTLSSet.toArray(new String[enabledTLSSet.size()]));
以下代码启用 TLS_RSA_WITH_AES_256_CBC_SHA256 密码套件:
Set<String> enabledCipherSuitesSet = new HashSet<String>(Arrays.asList(sslsocket.getEnabledCipherSuites()));
enabledCipherSuitesSet.add("TLS_RSA_WITH_AES_256_CBC_SHA256");
sslsocket.setEnabledCipherSuites(enabledCipherSuitesSet.toArray(new String[enabledCipherSuitesSet.size()]));
从 Java 代码完成上述两项操作后,我就可以通过 SSL 成功连接到服务器。
是否可以在 Java 7 中启用/强制TLSv1.2
和TLS_RSA_WITH_AES_256_CBC_SHA256
而无需通过属性、参数或调试道具更改任何 Java 代码?
我尝试了以下所有形式和组合(启用和禁用)的所有属性,但失败了。
-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256
-Ddeployment.security.TLSv1.2=true
我正在执行类似于下面的程序:
java -jar -Dhttps.protocols=TLSv1.2 -Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256 Ddeployment.security.TLSv1.2=true -Djavax.net.debug=ssl:handshake SSLPoker.jar <SERVER> 443
SSLPoker 包含以下代码:
package com.ashok.ssl;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
import java.io.*;
/**
* Establish a SSL connection to a host and port, writes a byte and prints the response - Ashok Goli. See
* http://confluence.atlassian.com/display/JIRA/Connecting+to+SSL+services
*/
public class SSLPoke {
/**
* The main method.
* Usage: $java -jar SSLPoker.jar <host> <port>
*
* @param args the arguments
*/
public static void main(String[] args) {
if (args.length != 2) {
System.out.println("Usage: " + SSLPoke.class.getName() + " <host> <port>");
System.exit(1);
}
try {
SSLSocketFactory sslsocketfactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslsocket =
(SSLSocket) sslsocketfactory.createSocket(args[0], Integer.parseInt(args[1]));
InputStream in = sslsocket.getInputStream();
OutputStream out = sslsocket.getOutputStream();
// Write a test byte to get a reaction :)
out.write(1);
while (in.available() > 0) {
System.out.print(in.read());
}
System.out.println("Successfully connected");
} catch (Exception exception) {
exception.printStackTrace();
}
}
}
任何有关如何在不更改 Java 代码的情况下实现这一点的指针将不胜感激。
仅当您使用属性使用简单的 HTTPS 连接(而不是 SSL 套接字)时才有可能
-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA256
请参阅http://fsanglier.blogspot.com.es/ 上的帖子
Java 7 引入了对 TLS v1.2 的支持(请参阅http://docs.oracle.com/javase/7/docs/technotes/guides/security/enhancements-7.html )但默认情况下不启用它。 换句话说,您的客户端应用程序必须在 SSLContext 创建时明确指定“TLS v1.2”,否则将无法使用它。
如果您需要直接使用安全套接字协议,请在应用程序启动时创建“TLSv1.2” SSLContext 并使用 SSLContext.setDefault(ctx) 调用将该新上下文注册为默认上下文。
SSLContext context = SSLContext.getInstance("TLSv1.2");
SSLContext.setDefault(context);
默认情况下,JRE 禁用所有 256 位加密。 要启用您可以在此处下载Java 加密扩展 (JCE) Unlimited Strength Jurisdiction Policy Files : http : //www.oracle.com/technetwork/java/javase/downloads/index.html
将local_policy.jar和US_export_policy.jar jars 文件替换到 jre 目录中的 lib/security 中。
看起来当前的 JRE 在lib/security
的 JRE 安装文件夹下同时提供了有限和无限制的策略文件,每个文件都在单独的子文件夹中。 默认情况下,在lib/security/java.security
,默认使用limited
策略。 但是,如果您取消对crypto.policy=unlimited
行的注释,这将允许 Java 使用unlimited
策略文件并启用 256 位密码/算法。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.