Набор шифров Javaee 7 SSL

Question

Набор шифров Javaee 7 SSL

1

Я новичок в сертификатах SSL и наборах шифров, поэтому я прошу о помощи. У меня есть сервер GF4 и автономный клиент. Клиент подключается к серверу через iiop ssl. Клиент не показывает никаких исключений, но он зависает. С javax.net.debug я вижу, что на клиенте бесконечно появляется следующая информация:

Ignoring unavailable cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
Ignoring unavailable cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDHE_RSA_WITH_RC4_128_SHA
Ignoring unavailable cipher suite: TLS_ECDH_ECDSA_WITH_RC4_128_SHA
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Ignoring unavailable cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Ignoring unavailable cipher suite: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
Ignoring unavailable cipher suite: TLS_ECDH_RSA_WITH_RC4_128_SHA
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unavailable cipher suite: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
Ignoring unavailable cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
Ignoring unavailable cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA256
Ignoring unavailable cipher suite: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

В то же время для используемых сертификатов я вижу Алгоритм: [SHA256withRSA]. Что все это значит? Должен ли я добавить набор шифров в GF. Если да, то какой?

04 июнь 2014, в 23:08

Источник

1

Я полагаю, это означает, что на вашем хранилище ключей сервера нет закрытых ключей. Поскольку вы являетесь сервером и у вас нет закрытого ключа RSA, вы не сможете завершить согласование с использованием набора шифров RSA. То же самое для DSA и ECDSA.
James K Polk 04 июнь 2014, в 23:34
0

@GregS Спасибо за ваше время. Мой glassfish keystore.jks содержит две записи: 1) Имя псевдонима: glassfish-instance Дата создания: 4 июня 2014 г. Тип записи: PrivateKeyEntry 2) Имя псевдонима: s1as Дата создания: 4 июня 2014 г. Тип записи: PrivateKeyEntry. Разве этого недостаточно? Что я должен делать?
user2022068 05 июнь 2014, в 04:12
0

@GregS Я сгенерировал сертификат DSA для хранилища ключей GF. После этого его экспортировали и импортировали в клиентское хранилище доверенных сертификатов. После этого изменили псевдоним сертификата для iiop. Результат тот же. Можете ли вы объяснить, что вы имели в виду?
user2022068 05 июнь 2014, в 08:30
0

У вас есть исходный код для клиента? Если это так, когда вы получаете SSLSocket из класса Factory, вам нужно вызвать setEnabledCipherSuites ()
Greycon 24 июль 2014, в 16:17

Показать ещё 2 комментария

Теги:

java

ssl

rsa

java-ee

glassfish

1 ответ

Ещё вопросы

Я полагаю, это означает, что на вашем хранилище ключей сервера нет закрытых ключей. Поскольку вы являетесь сервером и у вас нет закрытого ключа RSA, вы не сможете завершить согласование с использованием набора шифров RSA. То же самое для DSA и ECDSA.
@GregS Спасибо за ваше время. Мой glassfish keystore.jks содержит две записи: 1) Имя псевдонима: glassfish-instance Дата создания: 4 июня 2014 г. Тип записи: PrivateKeyEntry 2) Имя псевдонима: s1as Дата создания: 4 июня 2014 г. Тип записи: PrivateKeyEntry. Разве этого недостаточно? Что я должен делать?
@GregS Я сгенерировал сертификат DSA для хранилища ключей GF. После этого его экспортировали и импортировали в клиентское хранилище доверенных сертификатов. После этого изменили псевдоним сертификата для iiop. Результат тот же. Можете ли вы объяснить, что вы имели в виду?
У вас есть исходный код для клиента? Если это так, когда вы получаете SSLSocket из класса Factory, вам нужно вызвать setEnabledCipherSuites ()

user2022068 · Accepted Answer · 2014-11-19T15-19-00.000Z

В моей ситуации я решил эту проблему, потому что заметил, что все работает только в том случае, если клиент и сервер javaee находятся на одном хосте. Вот почему я понял и спросил ПРАВЫЙ вопрос, и я нашел ответ сам. Если вас это интересует, см. qaru.site/questions/8585027/...