javax.net.ssl.SSLHandshakeException:握手过程中远程主机关闭连接
javax.net.ssl.SSLHandshakeException是Java中的一个异常类,表示在SSL握手过程中发生了异常。SSL(Secure Sockets Layer)是一种用于保护网络通信安全的协议,它使用了公钥加密和对称密钥加密等技术来确保通信的机密性和完整性。
当客户端与服务器建立SSL连接时,会进行SSL握手过程。在握手过程中,客户端和服务器会交换证书、协商加密算法、验证身份等步骤。如果在这个过程中发生了异常,就会抛出javax.net.ssl.SSLHandshakeException异常。
常见的导致javax.net.ssl.SSLHandshakeException异常的原因包括:
- 证书验证失败:客户端无法验证服务器的证书有效性,可能是证书过期、证书链不完整或者证书不受信任等原因。
- 加密算法不匹配:客户端和服务器无法协商出一种共同支持的加密算法。
- 主机名验证失败:客户端验证服务器的主机名与证书中的主机名不匹配。
- SSL/TLS版本不匹配:客户端和服务器支持的SSL/TLS版本不一致。
针对这个异常,可以采取以下解决方法:
- 检查证书配置:确保服务器的证书配置正确,并且证书链完整、有效。可以使用腾讯云SSL证书服务来获取可信任的SSL证书。
- 更新加密算法:检查服务器的加密算法配置,确保与客户端支持的算法一致。腾讯云提供了SSL证书和SSL加速等服务,可以帮助优化加密算法配置。
- 配置主机名验证:在客户端代码中,可以配置主机名验证规则,确保与服务器的主机名匹配。具体配置方式可以参考腾讯云SSL证书服务的文档。
- 更新SSL/TLS版本:检查服务器和客户端支持的SSL/TLS版本,确保一致。可以使用腾讯云SSL证书服务来支持更高级别的SSL/TLS版本。
总结:javax.net.ssl.SSLHandshakeException异常在SSL握手过程中发生,可能由证书验证失败、加密算法不匹配、主机名验证失败或SSL/TLS版本不匹配等原因引起。解决方法包括检查证书配置、更新加密算法、配置主机名验证和更新SSL/TLS版本。腾讯云提供了相关的SSL证书服务和产品,可以帮助解决这些问题。
相关·内容
1回答
当涉及到安全的TLS配置(例如对于HTTPS)时,主题是关于支持的密码套件的。
我想充分了解密码套件的哪一部分在SSL/TLS连接中扮演哪个角色。
据我所知,一般情况是这样的:
客户端连接到服务器
客户端告诉服务器他们支持的协议(例如TLS 1.2)和密码套件(例如ECDHE-RSA- AND 128-GCM-RSA 256)
服务器回答并同意它们都支持的协议和密码套件(例如TLS 1.2和ECDHE-RSA- as 128-GCM- the 256),以及服务器证书(也包含它们的公钥)。
--从现在起,他们根据选择的协议进行通信,密码套件的作用变得重要
客户端根据已知的证书颁发机构验证服务器
浏览 0提问于2017-05-26得票数 6
回答已采纳
我的理解是,当Apache接收到它侦听的一个TCP端口(例如,80,443)的请求时,它将通过查看header Host来决定请求哪个主机。然后,服务器将知道应该将请求重定向到哪个虚拟主机。
但是它是如何在SSL/TLS上的HTTP上工作的呢?由于整个HTTP请求都是加密的(至少我认为这是我在某个地方读到的),所以只有在服务器对数据进行解密之后才能读取头信息。但是为了解密,它需要知道要使用哪一对密钥,因为您可以在web服务器上安装多个SSL证书。
那么,服务器如何知道解密所需的密钥呢?
我猜:
我可以想象TLS握手提供了必要的信息。
关于
标志的“可能重复”:
虽然我同意有关问题和我自己的问题
浏览 0提问于2016-12-26得票数 18
回答已采纳
我试图通过eclipse客户端的python实现创建一个连接到一个TLS (TLSv1)安全的MQTT (启用了MQTT插件的Rabbitmq)。对于基于paho的java实现的MQTTFX应用程序来说,同样的工作方式也很好。为此,我使用的是自签名证书。
Java version uses:
CA-File: ca_certificate.crt
Client Certificate client_cert.crt
Client Key File: client_key.key
Python Version should use:
浏览 17提问于2022-03-22得票数 0
尝试使用SSL证书实现客户端身份验证。
http://www.modssl.org/docs/2.8/ssl_Howto.html#auth-选择
接收以下错误。
阿帕奇:重新谈判握手失败:客户不接受!?
Firefox:
ssl_error_handshake_failure_alert
我认为这是一个配置错误,但未能找到它。
附加信息:商业CA服务器证书服务器安全工作,在Apache2.2和乘客中没有问题。只有与客户端身份验证相关的指令不起作用。
浏览 0提问于2009-06-03得票数 3
1回答
我正在使用OpenSSL程序生成我的SSL自签名证书,创建一个CA证书和一个and服务器证书。with服务器证书,我已经用CA证书对其进行了签名。我用Java的keytool创建了一个keystore来导入webserver的证书。
在客户端,我已经在客户端的证书管理器中的"Trusted Root Certification Authorities“下导入了CA证书。
从理论上讲,这种方式是单向TLS通信还是双向TLS通信?
非常感谢你的帮助!
浏览 5提问于2020-06-30得票数 0
我正在尝试使用双向SSL运行一个简单的控制台应用程序。我有以下C#代码:
var certificate = X509Certificate2.CreateFromPemFile(_publicFilename, _privateFilename);
using (var handler = new HttpClientHandler())
{
handler.ClientCertificateOptions = ClientCertificateOption.Manual;
handler.ServerCertificateCustomValidationCallback
浏览 4提问于2021-05-28得票数 0
3回答
目前,我正在使用HTTP1.1和HTTP/2在IIS 10上测试web应用程序。我的测试应用程序有一个端点(/api/ test ),它只返回“true”。我有3份证书:
根CA (自签名)
由根CA签名的服务器证书
由根CA签名的客户端证书
安装在Windows 2016上的根CA和服务器证书,以及配置为使用服务器证书侦听的IIS网站。此外,我将网站配置为需要客户端证书(这对我的测试非常重要,我需要服务器/客户端证书验证)。
我通过curl测试我的应用程序,对于http1.1来说,一切都很好。
命令:
curl.exe --http1.1 --get --url http
浏览 0提问于2018-09-18得票数 5
回答已采纳
这个代码有什么问题,它应该信任所有的主机,但是它不..
例如,它对google.com很好,但是对于在我的机器上本地运行的API服务,为什么呢?
SSL调试输出
触发器种子的SecureRandom做种子SecureRandom忽略不支持的密码套件: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256。忽略不支持的密码套件: TLS_RSA_WITH_AES_128_CBC_SHA256允许不安全的重新协商: false允许遗留的hello消息: true是初始握手: true是安全的重新协商: false Thread-6,setSoTimeout(0)调用%% No缓
浏览 3提问于2015-06-14得票数 4
4回答
我的服务器foo.example.com为192.0.2.1。
它运行进出口接收电子邮件,为我的几个域名。
我的域都有指向mx.example.com的MX记录,该记录解析为192.0.2.1。
如果我想让exim为传入的电子邮件连接提供TLS加密,我应该在SSL证书中添加什么主机名?
foo.example.com,因为这就是服务器在直升机中会说的吗?
mx.example.com,因为这是客户端将连接到的主机名?
http://www.checktls.com认为后者是正确的,但我找不到确切的答案。
浏览 0提问于2012-05-15得票数 26
回答已采纳
我读过以下优秀的帖子SSL/TLS是如何工作的?,但不幸的是,它没有澄清我有一个问题。
如果在已建立的TLS会话期间,服务器变得繁忙,需要重新协商正在使用的密码--假设安全重新协商到位--到底会发生什么。
服务器是否启动了一个新的完全握手,它是否只是使用会话恢复?
浏览 0提问于2017-08-09得票数 0
回答已采纳
3回答
在SSL中,如果握手不成功,它是否总是以握手警报结束?
或者还有其他方法来完成SSL连接(标准上是可以接受的)。
我之所以问这个问题,是因为在配置为要求客户端身份验证的HTTPS服务器中,如果客户端不发送证书,我会看到(通过网络数据包)一个TLS完成了从服务器到客户端的消息;我正在等待一个警报。
浏览 0提问于2011-05-22得票数 13
我已经使用码头-邮件服务器设置了一个电子邮件服务器。
DKIM、SPF和DMARC配置良好。
SSL是使用“让我们加密”设置的。服务器已启用TLS和STARTTLS。
我在https://www.checktls.com/TestReceiver上运行了一个TLS/SSL测试,它说我的SSL工作正常:
📷
📷
我可以使用Mozilla Thunderbird通过服务器接收和发送电子邮件:
📷
但是,当登录到Thunderbird通过IMAP接收电子邮件或通过SMTP发送邮件时,我会看到这个警告(如果单击“确认安全异常”按钮,我仍然能够发送和接收电子邮件)。
📷
我查看了另外几个电子邮件TLS/
浏览 0提问于2020-12-13得票数 4
有很多类似的问题已经回答了,没有一个答案对我目前的情况有帮助。
在windows服务中,我们有TCPL流和客户端连接到流。
我已经创建了一个.NET客户端,并且能够使用IIS使用严格的TLS1.2成功地访问服务器。
我们试图使用Lantronix xport Pro访问服务器,下面的行会引发异常。
stream.AuthenticateAsServer(serverCertificate, false, SslProtocols.Ssl3| SslProtocols.Tls | SslProtocols.Tls11 | SslProtocols.Tls12, True);
只有在启用严格的TL
浏览 1提问于2018-04-03得票数 1
回答已采纳
1回答
在客户端,我在jdk5u22上有Apache客户机。在服务器端,jdk6u27上有tomcat。
使用此设置,如果我尝试SSL身份验证(双向SSL),则会在服务器上导致"javax.net.ssl.SSLHandshakeException:不允许重新协商“,并且握手失败。如果我在服务器上设置系统属性sun.security.ssl.allowUnsafeRenegotiation=true和sun.security.ssl.allowLegacyHelloMessages=true,它就会成功。
根据链接,这是因为JRE6u27有RFC 5746实现,而下面的JRE5u26没有这一点
浏览 3提问于2011-09-26得票数 4
我有两个域:foo.net和bar.com。它们都有SSL证书,并且在所有桌面和移动浏览器中都能很好地工作。它们托管在配置有nginx的同一台服务器上。
但是,当我从本地android应用程序中向域发出请求时,它不知何故从错误的域获得了证书!这导致IO异常:
request = new HttpPost("https://foo.net/api/v1/baz");
request.setHeader("Authorization", "user:pass");
response = httpClient.execute(request);
..。
浏览 0提问于2014-02-22得票数 18
回答已采纳
我有一个Java程序,它使用SSL/TLS连接到TLS服务器,并通过该连接发送各种HTTP请求。服务器是本地主机,使用的是自签名证书,但我的代码使用的是自定义TrustManagers,并且忽略了无效的证书。到目前为止,它一直运行得很好。
服务器上唯一的不同之处在于,它过去运行jboss 6,现在运行jboss 7。我不确定这是配置问题,还是我的代码有问题,但如果我尝试使用其他基于Java的程序连接,如WebScarab或ZAP,我会得到相同的错误。
无论如何,我能对我的代码做些什么来解决这个问题吗?下面是完整的错误:
Received fatal alert: handshake_failu
浏览 1提问于2012-03-23得票数 19
回答已采纳
让我们假设这个(虚构的)场景:我安装了一个对两个主机名(anonymousserver.com和authenticatedserver.com)作出反应的webserver。
我希望有以下行为:
如果anonymousserver.com调用but服务器,则必须使用ssl,但不应请求客户端证书。
如果authenticatedserver.com调用and服务器,则必须使用ssl并请求客户端证书。
那么,是否可以决定根据主机名进行客户端证书身份验证?我看到的问题是ssl握手和http get请求是一个接一个发生的;当服务器知道应该处理哪个url时,ssl握手就已经完成了。
浏览 0提问于2017-09-06得票数 1
这个问题困扰着我,当我研究我的客户端应用程序和外部服务器之间的交互SSL失败时。
当我的应用程序试图连接到外部服务器的rest (我们称它为 )时,我希望与他们的Server一起发送一个“证书请求”握手元素。据我所知,从我和服务器之间所有流量的tcpdump来看,它是不发送的。只发送“服务器你好、证书、证书状态、服务器密钥交换、服务器哈罗完成”:
TLSv1.2握手的tcpdump:
但是,当我试图访问Chrome中相同的API URL时,浏览器会显示一个框,要求我选择我的客户端证书进行相互认证。当我捕获握手的转储到浏览器提示我输入证书的时候,我仍然没有看到服务器发送的“证书请求”:
浏览器导
浏览 4提问于2020-08-09得票数 3
回答已采纳
我正在开发一个Android应用程序,它将一些HTTPS请求发送到我们自己的Let服务器(Linux、Nginx、SSL零证书,从“让我们加密”)。
请求在我的测试设备(Android4.2.2和Android6.0.1)上运行良好,但在另一个设备(5.1.1)上,请求抛出了异常:
无法验证主机名我的_域名
查看我的浏览器中的证书,它似乎运行良好,使用以下连接:
TLS 1.2 AES_128_GCM ECDHE_RSA
在搜索web以获得任何帮助之后,我最终尝试应用一个自定义SSLSocketFactory,它迫使客户端使用密码套件TLS_ECDHE_RSA_WITH_AES_128_GCM
浏览 0提问于2016-02-17得票数 6
1回答
我们使用JVM后端运行web应用程序(Java 7更新75;代码在Scala中,但我认为这与此无关)。我们通过Oauth使用Google进行身份验证。
在过去几个月中,有几天我们断断续续地无法对用户进行身份验证。
往返谷歌的重定向是成功的,但是当我们试图调用token_endpoint at 来验证身份验证时,有时会得到以下异常:javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation。
这个关于另一个问题的评论让我找到了一个JDK错误,它可以显示为这个异常(
浏览 2提问于2015-05-28得票数 8
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
