【发布时间】:2019-08-05 07:28:38
【问题描述】:
我在尝试连接到 IBM 的 Watson API 时收到以下错误:
java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at com.ibm.watson.developer_cloud.service.security.IamTokenManager.callIamApi(IamTokenManager.java:190)
at com.ibm.watson.developer_cloud.service.security.IamTokenManager.requestToken(IamTokenManager.java:108)
at com.ibm.watson.developer_cloud.service.security.IamTokenManager.getToken(IamTokenManager.java:78)
at com.ibm.watson.developer_cloud.service.WatsonService.setAuthentication(WatsonService.java:375)
at com.ibm.watson.developer_cloud.service.WatsonService.createCall(WatsonService.java:206)
at com.ibm.watson.developer_cloud.service.WatsonService.createServiceCall(WatsonService.java:240)
at com.ibm.watson.developer_cloud.assistant.v2.Assistant.createSession(Assistant.java:107)
[...]
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:128)
at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:117)
at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:308)
at java.base/sun.security.ssl.Alert$AlertConsumer.consume(Alert.java:279)
at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:181)
at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1152)
at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1063)
at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
at okhttp3.internal.connection.RealConnection.connectTls(RealConnection.java:318)
at okhttp3.internal.connection.RealConnection.establishProtocol(RealConnection.java:282)
at okhttp3.internal.connection.RealConnection.connect(RealConnection.java:167)
at okhttp3.internal.connection.StreamAllocation.findConnection(StreamAllocation.java:257)
at okhttp3.internal.connection.StreamAllocation.findHealthyConnection(StreamAllocation.java:135)
[...]
这是尝试启动 API 调用的 Java 代码:
// Init assistant
IamOptions imaOptions = new IamOptions.Builder()
.apiKey(API_KEY)
.build();
assistant = new Assistant("2019-03-13", imaOptions);
assistant.setEndPoint(END_POINT_FRA);
// Create session
CreateSessionOptions options = new CreateSessionOptions.Builder(ASSISTANT_ID).build();
ServiceCall<SessionResponse> session = assistant.createSession(options);
在最后一行抛出异常。有趣的是,当我通过独立的单元测试运行它时,我能够很好地连接。只有当我尝试从服务器应用程序连接时,才会收到此 SSL 错误。
我已经尝试了以下方法:
将所有必需的 SSL 证书导入应用程序的 信任库
设置系统属性以支持 TLS 1.1 之前的 TLS 1.2
已验证 JCE 完整策略文件已安装(作为 Java 11 的一部分, 这是我现在的版本)
-
使用 nmap 验证服务器的密码套件并检查它们是否受 JDK 支持 ( nmap -sV --script ssl-enum-ciphers -p 443 wildcard.bluemix.net )
李>
我还阅读并关注了这些文章:
Received fatal alert: handshake_failure through SSLHandshakeException
我现在有点迷茫。有什么想法可能导致 SSL 握手问题或我如何进一步诊断它?
==== 更新 ====
在围绕这个话题进行挖掘之后,我想我已经设法将它隔离了。这似乎是 Java 11.0.1 中的一个实际错误,在 11.0.2 中也仍然存在。根本原因是 Java 11 (OpenJDK) 不能很好地与 TLSv1.3 配合使用,如下所述:https://webtide.com/openjdk-11-and-tls-1-3-issues/ 和此处的错误报告 https://bugs.openjdk.java.net/browse/JDK-8213202
现在的问题是如何禁用 TLSv1.3。我已经尝试过https://blogs.oracle.com/java-platform-group/jdk-8-will-use-tls-12-as-default 和https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html 此处提供的解决方案(协议和属性),但由于某种原因,这种禁用在我的情况下不起作用。我的代码正在使用 org.apache.http.impl.client.ClosableHttpClient 并且 Builder 不允许我访问底层 SSLConnectionSocketFactory (我可能能够禁用 TLSv1.3)。所以,问题仍然存在:如何在此特定设置中禁用 TLSv1.3?
(PS:尝试访问 Google NL 和 Vision API - language.googleapis.com 和 vision.googleapis.com 时也会出现问题)
【问题讨论】:
-
您是在自己的机器上、在 docker 映像中还是在云中运行服务器应用程序?服务器应用程序是否有自签名证书?
-
服务器在公司网络的我的开发机器上本地运行。它没有自签名证书,我已将所需的证书导入系统使用的信任库。
-
通过禁用 TLSv.1.3 解决的问题:“-Djdk.tls.client.protocols=TLSv1.1,TLSv1.2”
标签: java ssl java-11 sslhandshakeexception