Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2017(UTC) Сообщений: 28  Сказал(а) «Спасибо»: 3 раз
|
Добрый день. При обновлении Tomcat/JRE/JCP у одного из наших клиентов возникла проблема. При попытке подключения к серверу на нём вылетает SSLHandshakeException и соединение завершается. Лог сервера:
24-Jul-2018 07:46:40.910 INFO [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.SSLEngineImpl.a Using SSLEngineImpl.
24-Jul-2018 07:46:40.926 CONFIG [http-nio-8443-Acceptor-0] ru.CryptoPro.JCP.pref.JCPPref.getInt System Preference Node: /ru/CryptoPro/ssl.RI_support=1
24-Jul-2018 07:46:40.926 CONFIG [http-nio-8443-Acceptor-0] ru.CryptoPro.JCP.pref.JCPPref.getInt System Preference Node: /ru/CryptoPro/ssl.RI_support=1
24-Jul-2018 07:46:40.926 CONFIG [http-nio-8443-Acceptor-0] ru.CryptoPro.JCP.pref.JCPPref.getInt System Preference Node: /ru/CryptoPro/ssl.RI_support=1
24-Jul-2018 07:46:40.926 FINE [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.cl_58.a Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
24-Jul-2018 07:46:40.926 SEVERE [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-Acceptor-0, fatal error: 40: Couldn't kickstart handshaking
javax.net.ssl.SSLHandshakeException: No appropriate protocol
at ru.CryptoPro.ssl.cl_58.b(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.g(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.beginHandshake(Unknown Source)
at org.apache.tomcat.util.net.SecureNioChannel.reset(SecureNioChannel.java:94)
at org.apache.tomcat.util.net.SecureNioChannel.<init>(SecureNioChannel.java:76)
at org.apache.tomcat.util.net.NioEndpoint.setSocketOptions(NioEndpoint.java:555)
at org.apache.tomcat.util.net.NioEndpoint$Acceptor.run(NioEndpoint.java:708)
at java.lang.Thread.run(Unknown Source)
24-Jul-2018 07:46:40.926 FINE [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-Acceptor-0, SEND TLSv1 ALERT: fatal, description = handshake_failure
Выхлоп csptest:
15 algorithms supported:
Aglid Class OID
[00] 0x660e 0x6000
[01] 0x6610 0x6000
[02] 0x6801 0x6000 1.2.840.113549.3.4 (rc4)
[03] 0x6603 0x6000 1.2.840.113549.3.7 (3des)
[04] 0x6601 0x6000 1.3.14.3.2.7 (des)
[05] 0x8003 0x8000 1.2.840.113549.2.5 (md5)
[06] 0x8004 0x8000 1.3.14.3.2.26 (sha1)
[07] 0x800c 0x8000
[08] 0x800d 0x8000
[09] 0x800e 0x8000
[10] 0x2400 0x2000 1.2.840.113549.1.1.1 (RSA)
[11] 0xaa02 0xa000 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06 0xa000
[13] 0x2200 0x2000 1.2.840.10040.4.1 (DSA)
[14] 0x2203 0x2000
Cipher strengths: 256..256
Supported protocols: 0xa0a80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
Datagram Transport Layer Security client side
0x80000
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 171
Cipher Suites: (ff 85) (00 81) (c0 2c) (c0 2b) (c0 30) (c0 2f) (00 9f) (00 9e) (c0 24) (c0 23) (c0 28) (c0 27) (c0 0a) (c0 09) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
176 bytes of handshake data sent
**** Server unexpectedly disconnected
Total: SYS: 0,016 sec USR: 0,031 sec UTC: 0,109 sec
[ErrorCode: 0x80090304]
Используются Tomcat 8.0.36, Oracle JRE 1.8.0_181-b13, JCP/JTLS 2.0.39738. Настройка проводилась в соответствии с гайдом. Коннектор из server.xml:
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxHttpHeaderSize="8192"
maxThreads="150" scheme="https" secure="true"
clientAuth="false"
minSpareThreads="25" maxSpareThreads="75"
acceptCount="100"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"
keystoreFile="D:\apps\tomcat8\cert\trustcerts"
keystorePass=""
keyAlias="ssl2017"
ciphers="TLS_CIPHER_2001"
sslEnabledProtocols="GostTLS"
/>
Странно отсутствие сообщение о ClientHello в логе. Видимо, при его разборе встречается неподдерживаемая версия протокола, и дальше дело не идёт.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 690 раз в 651 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2017(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 3 раз
|
Вот что вышло у клиента:  tomcat8_zportal-stderr.2018-07-24.log (229kb) загружен 3 раз(а).Ни одного сообщения на уровне ALL я здесь не вижу, что ещё более странно. UPD: забыл вывод csptest: csptest.txt (3kb) загружен 3 раз(а).Отредактировано пользователем 24 июля 2018 г. 12:51:30(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 690 раз в 651 постах
|
Клиент, вместо jtls, настроил лог jcp, хотя я скинул настройку лога для jtls. Надо для jtls (SSLogger). Настройку для jcp надо убрать, для jtls задать. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2017(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 3 раз
|
Клиент использовал те настройки что я ему написал. Там стоит ALL для SSL и FINEST для JCP. У меня на тестовом Tomcat в лог с этими же настройки благополучно пишутся всяческие "[Raw read]" и т. д.. Я могу, конечно, выключить логирование JCP и проделать всё снова, но сомневаюсь что вам это поможет. Делать? Те самые настройки: logging.properties.txt (4kb) загружен 3 раз(а).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.07.2017(UTC) Сообщений: 28 Сказал(а) «Спасибо»: 3 раз
|
У клиента всё решилось переустановкой JCP. Что там происходило и что изменилось - неясно, но теперь всё работает. Спасибо за помощь.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
