net.schmizz.sshj.DefaultConfig Illegal key size问题，NIFI部分版本因此无法正常启动

Posted 2022-10-03 青冬

前言

对于 NiFi 来说还有这样报错 apache.nifi.encrypt.EncryptionException: Failed to get Cipher for Algorithm [AES/GCM/NoPadding]
实例：

其实这个报错全网资料也比较多，但没有把根本原因说清楚，到底怎么解决说清楚。解决办法也其实特别的简单。

背景

从 NIFI 1.9.2 开始就有 sshj 的加密使用，如果我们忽略不管的话，nifi.log中会疯狂打印如下图所示：

描述中也很清楚的描写到， ciphers 高强度模式被禁用，受限于 JCE policy。而这个 JCE Policy就是美国对软件的出口管制，包含：

• 密钥长度大于128（上图报错）
• 部分算法不支持（MD4, SHA-224）
• API 未开放（这个没看过，但主要是 Base64/十六进制等编码转换）

其实还可能跟 java 版本相关，如果使用的是低于java11的。

解决

如果不能进行升级java版本，推荐如下办法：

下载非受限jre包

https://www.oracle.com/java/technologies/javase-jce8-downloads.html

将其解压后的两个文件放入

unzip jce_policy-8.zip
chmod 777 local_policy.jar US_export_policy.jar 
mv local_policy.jar US_export_policy.jar  $JAVA_HOME/jre/lib/security/

重启 NiFi 即可。

参考

https://community.cloudera.com/t5/Support-Questions/Nifi-starts-without-error-but-cannot-connect/m-p/338254/highlight/true#M232781