1、问题
某业务需要获取A服务器资源,在A服务器未迁移系统时访问正常,迁移为信创系统时,再次访问资源报错Received fatal alert: handshake_failure,用浏览器访问则报:
此服务器的系统为Windows 2012R2,首次分析问题出现的原因,可能是协议的问题。
2、问题出现的原因
- 为了排查原因,采用Win11系统作对比,发现Win11系统访问A服务器资源没有问题,打开Internet选项(打开控制面板找到internet选项,打开后点击"高级",见下图)发现Win11系统支持TLS1.2、TLS1.3,而Win2012 R2支持TLS1.0、1.1、1.2。
进一步确定问题出现的原因,采用openssl(官方下载链接),找到对应系统的Light版本,安装后打开openssl prompt。
输入以下命令,验证A服务器是否支持TLS1.2。
openssl s_client -connect 域名:端口号 -tls1_2查看输出结果,其中包含ssl-session表示本次握手的会话信息(采用win11的客户端访问):
SSL-Session:
Protocol : TLSv1.2 最终协商使用的TLS版本
Cipher : ECDHE-RSA-AES256-GCM-SHA384 加密套件:密钥交换算法(ECDHE)
认证方式(RSA)
对称加密算法(AES256-GCM)
摘要算法(SHA384)
Session-ID: XXX 本次的会话id采用win server 2012验证,返回了read R block,随后返回了handshake failure。
-
在项目中输出当前上下文采用的加密套件
SSLContext context = SSLContext.getDefault();
for (String s : context.getSupportedSSLParameters().getCipherSuites()) {
if (s.contains("ECDHE")) {
System.out.println(s);
}
}
输出后发现没有对方服务器需要的加密套件。
3、解决方法
1、升级jdk的版本;
2、更新系统;
待续。。