支持多种 TLS 协议的 HttpClient

【问题标题】:HttpClient supporting multiple TLS protocols支持多种 TLS 协议的 HttpClient
【发布时间】:2013-08-14 16:44:50
【问题描述】:

我们正在编写一个应用程序,该应用程序必须使用 HTTPS 与一些服务器进行通信。 它需要与 AWS(使用 AWS 库)以及我们使用 TLS 1.2 的一些内部服务进行通信。

我首先将 HttpClient 更改为使用 TLS 1.2 SSLContext:

public static SchemeRegistry buildSchemeRegistry() throws Exception {
    final SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init(createKeyManager(), createTrustManager(), new SecureRandom());
    final SchemeRegistry schemeRegistry = new SchemeRegistry();
    schemeRegistry.register(new Scheme("https", 443, new SSLSocketFactory(sslContext)));
    return schemeRegistry;
}

并将此 SchemeRegistry 注入 DefaultHttpClient 对象(通过 spring),但这样做我从 AWS 收到错误,因此我假设(我可能错了)AWS 不支持 TLS 1.2(我没有收到此消息如果我只使用普通的 DefaultHttpClient):

AmazonServiceException: Status Code: 403, AWS Service: AmazonSimpleDB, AWS Request ID: 5d91d65f-7158-91b6-431d-56e1c76a844c, AWS Error Code: InvalidClientTokenId, AWS Error Message: The AWS Access Key Id you provided does not exist in our records.

如果我尝试在 spring 中定义两个 HttpClient,一个使用 TLS 1.2,一个是默认值,我会收到以下错误,我认为这意味着 Spring 不喜欢实例化和自动装配两个 HttpClient 对象: 

SEVERE: Servlet /my-refsvc threw load() exception
java.lang.NullPointerException
at com.company.project.refsvc.base.HttpsClientFactory.<clinit>(BentoHttpsClientFactory.java:25)
...
org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateUsingFactoryMethod(AbstractAutowireCapableBeanFactory.java:1031)
at 
...
org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:223)

我在 java 中使用 HTTPS 的次数不多,请问各位好心人能给我一些建议吗? 1) 我如何让 Spring 允许两个 HttpClient 对象,一个连接到 AWS 东西 bean,另一个连接到其他 bean 以访问 TLS1.2 服务 2) 或者是否可以更改一个 HttpClient 对象以尝试 TLS1.2(通过 SSLContext 或 SchemeRegistry 或其他方式),如果失败则尝试 TLS1.1 或 1.0? 3)如果两者都可能,那么“更好”的方法是什么?

【问题讨论】:

  • 在使用SSLContext.getInstance("TLSv1.1")SSLContext.getInstance("TLS") 时是否会出现同样的错误?
  • 是的,我在那里遇到了同样的错误。我想知道是不是我的客户端证书搞砸了,而不是 TLS 版本。
  • 尝试使用默认的SSLContext以防万一(SSLContext sslContext = SSLContext.getDefault(),已经初始化)。否则,请尝试减少自定义:sslContext.init(createKeyManager(), null, null) 应使用 TM 和 SecureRandom 的默认值。密钥管理器没有默认值,因此您的密钥管理器代码中可能仍然存在问题(仅在服务器请求客户端证书时有用)。
  • 我创建了一篇关于如何为 android 4.1+ 启用它的小博文blog.dev-area.net/2015/08/13/…

标签: java spring ssl httpclient apache-commons-httpclient


【解决方案1】:

TLS 有一个内置机制来协商要使用的协议版本。来自RFC 5246 (Appendix E)

TLS 版本 1.0、1.1 和 1.2 与 SSL 3.0 非常相似,并且 使用兼容的 ClientHello 消息;因此,支持所有这些 相对容易。同样,服务器可以轻松处理客户端 尝试使用未来版本的 TLS,只要 ClientHello 格式保持兼容,客户端支持最高 服务器中可用的协议版本。

希望与此类旧服务器进行协商的 TLS 1.2 客户端 将发送一个普通的 TLS 1.2 ClientHello,包含 { 3, 3 } (TLS 1.2) 在 ClientHello.client_version 中。如果服务器不支持这个版本,它会响应一个 ServerHello 包含一个 旧版本号。如果客户同意使用此版本, 谈判将酌情进行 协议。

此外,更改SSLContext.getInstance(...) 中的版本号只会更改默认启用的协议。使用SSLSocket.setEnabledProtocols(...) 设置实际的协议版本(请参阅this question)。我不确定您正在使用的其他库,但它可能在某处设置了启用的协议。

有几种可能:

  • 您在 createKeyManager() 中所做的操作与默认行为不同。如果服务使用的是客户端证书认证,那么错误的配置肯定会导致 403 错误。

  • (我猜不太可能,但如果没有看到你的createKeyManager()createTrustManager() 就很难说)。也许您使用的服务器与 TLS 1.2 和版本协商机制不兼容。 sun.security.ssl.SSLContextImpl中有这样的评论:

    SSL/TLS 协议指定前向兼容性和版本 回滚攻击保护,然而,一些 SSL/TLS 服务器 供应商没有正确实施这些方面,一些当前 SSL/TLS 服务器可能拒绝与 TLS 1.1 或更高版本的客户端通信。

【讨论】:

  • 我们正在使用客户端证书身份验证,但我不知道在他们不期望的情况下尝试使用客户端证书对 AWS 服务器进行身份验证是否会导致错误。 AWS 使用 HMAC 签名进行身份验证,但我真的不知道更多。 createKeyManager 和 createTrustManager 只是加载一个 .jks 文件并从中返回对象(不能在此评论中发布代码)
  • @agentgonzo,如果您想发布更多代码,可以编辑您的问题。您的应用程序(默认情况下)是否尝试使用密钥库的其他设置(javax.net.ssl.* 属性)?如果您获得其他上下文(TLS 和 TLSv1.1)会发生什么?
猜你喜欢
  • 1970-01-01
  • 2023-03-29
  • 2015-05-29
  • 1970-01-01
  • 1970-01-01
  • 2020-04-10
  • 2020-05-29
  • 1970-01-01
  • 2011-07-27
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode