Coldfusion CFHTTP 握手失败
Posted
技术标签:
【中文标题】Coldfusion CFHTTP 握手失败【英文标题】:Coldfusion CFHTTP handshake_failure 【发布时间】:2016-09-26 12:11:38 【问题描述】:我正在尝试通过带有客户端证书的 CFHTTP 发送 SOAP 请求。我在 SOAP UI 中的测试请求成功,但是当我尝试通过 CFHTTP 发送请求时,出现以下错误:
I/O Exception: Received fatal alert: handshake_failure
我的 CFHTTP 标签是这样的:
<cfhttp
url="https://..."
method="post"
clientcert="C:\..."
clientcertpassword="password"
result="httpResponse"
>
我已尝试检查日志,以了解有关可能发生故障的位置的更多信息。我只能得到以下内容:
http.log
"Information","ajp-bio-8014-exec-10","09/26/16","07:07:59",,"Starting HTTP request URL='https://...', method='post'"
coldfusion-out.log
Sep 26, 2016 07:07:59 AM Information [ajp-bio-8014-exec-10] - Starting HTTP request URL='https://...', method='post'
我已经使用 keytool 导入了证书,当我在 cacerts 中列出证书时,我会在那里看到它们。
我可以寻求解决此问题的任何其他想法吗?
编辑添加:
我的证书是 .p12 格式并且有密码。我已经在 SOAP UI 中使用密码测试了 .p12 文件,它可以工作。
我已经安装了 CF10-Certman 并确认了 CF 管理员提供的证书。
我已将这些行添加到我的 jvm.config:
-Djavax.net.ssl.keyStore=C:\\ColdFusion11\\jre\\lib\\security\\cacerts
-Djavax.net.ssl.keyStorePassword=password
-Djavax.net.ssl=debug
-Djavax.net.debug=all
我用 \ 和 / ("C:/Coldfusion11/...") 尝试了密钥库路径
额外的coldfusion-out.log输出:
Sep 26, 2016 11:10:06 AM Information [ajp-bio-8014-exec-2] - Starting HTTP request URL='https://...', method='post'
...
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
...
Allow unsafe renegotiation: true
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1
RandomCookie: GMT: 1458128991 bytes = 40, ...
Session ID:
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods: 0
Extension elliptic_curves, curve names: secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1
Extension ec_point_formats, formats: [uncompressed]
Extension server_name, server_name: [host_name: url ]
***
ajp-bio-8014-exec-2, WRITE: TLSv1 Handshake, length = 195
ajp-bio-8014-exec-2, READ: TLSv1.1 Alert, length = 2
ajp-bio-8014-exec-2, RECV TLSv1 ALERT: fatal, handshake_failure
ajp-bio-8014-exec-2, called closeSocket()
ajp-bio-8014-exec-2, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
Finalizer, called close()
Finalizer, called closeInternal(true)
SOAPUI 中的 CipherSuite 是 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
更新
我从 cfhttp 标记中删除了 clientcert 和 clientcertpassword,现在我在 Coldfusion-out.log 中看到了这个:
ajp-bio-8014-exec-1, WRITE: TLSv1.1 Handshake, length = 64
ajp-bio-8014-exec-1, setSoTimeout(360000) called
ajp-bio-8014-exec-1, WRITE: TLSv1.1 Application Data, length = 1680
ajp-bio-8014-exec-1, READ: TLSv1.1 Alert, length = 48
ajp-bio-8014-exec-1, RECV TLSv1.1 ALERT: warning, close_notify
ajp-bio-8014-exec-1, called closeInternal(false)
ajp-bio-8014-exec-1, SEND TLSv1.1 ALERT: warning, description = close_notify
ajp-bio-8014-exec-1, WRITE: TLSv1.1 Alert, length = 48
ajp-bio-8014-exec-1, called closeSocket(false)
ajp-bio-8014-exec-1, called close()
ajp-bio-8014-exec-1, called closeInternal(true)
我已联系服务器管理员,看看他们是否看到了请求。
更新
添加 clientcert 回来修复它!
【问题讨论】:
参考请阅读this和this @Leothelion 我已经阅读了这两篇文章。我已经尝试过提到的建议。我会将我的 jvm.config 添加到我的原始帖子中。 您确定 ColdFusion 使用的是正确的密钥库文件吗?您是否曾经在该服务器上更新过 Java? ColdFusion 管理员系统信息页面将在“Java Home”标签下告诉您正在使用的路径。也看看this。 @Miguel-F 我在 CF Administrator 中显示 Java 主页是“C:\ColdFusion11\jre”,我将证书添加到位于 C:\ColdFusion11\jre\lib\security 的 cacerts 中跨度> 那么这应该是您安装的正确密钥库。检查我引用的链接是否有其他可能性 【参考方案1】:我不确定总体上究竟是什么解决了这个问题,但如果您查看我的原始帖子(包括更新),以下内容似乎有所贡献:
1) 不包括 clientcert 导致 ColdFusion 检查服务器证书的 cacerts
2) 重新添加 clientcert 导致 ColdFusion 完成握手
JVM.config 设置还有助于调试和确保使用正确的协议。
【讨论】:
以上是关于Coldfusion CFHTTP 握手失败的主要内容,如果未能解决你的问题,请参考以下文章
SSL 的 CFHTTP 问题 - 关闭 cfhttp 的安全性?
如何在某些 java 类或包上限制 createObject()?