Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确
Posted
技术标签:
【中文标题】Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确【英文标题】:Spring Boot 2.1 embedded Tomcat - keystore password was incorrect 【发布时间】:2019-05-23 04:29:53 【问题描述】:更新 -> 添加 Security.addProvider(new BouncyCastleProvider());修复了这个问题
以下错误是由于在我的配置中添加了 ActiveMQ Broker 引起的。如果我删除 JMS 配置,此错误就会消失。
java.security.UnrecoverableKeyException: failed to decrypt safe contents entry:
javax.crypto.BadPaddingException: pad block corrupted
Spring Boot 2.1.1.RELEASE 带有 SSL 的嵌入式 Tomcat 活动MQ @EnableJMS
更新:我从应用程序中删除了我的 JMSConfiguration.class,一切都开始工作了。 @EnableJMS 必须做一些覆盖某些事情的事情。我将系统地注释掉该配置类中的 bean,直到找到确切的罪魁祸首。我从未想过我的 JMS Active MQ 配置会与嵌入式 Tomcat 服务器的 SSL 配置发生冲突。
我已将其范围缩小到以下与 JMS 相关的 bean,这就是原因。如果我完全摆脱了 JMS 配置,那么我不会收到密码错误。这些东西看似无关,但不知何故。
@Bean
public BrokerService broker() throws Exception
final BrokerService broker = new BrokerService();
使用下面的配置,启动 Spring Boot 时出现错误。如果我删除所有 @Configuration 类并启动 Spring Boot,则此配置可以正常工作。我已经尝试过 PKCS、JKS 并且我已经尝试过 file: 并且我已经移动了文件并且没有任何乐趣。我知道密码是正确的,因为它会正常启动,如果我删除我的配置类并且我可以使用 443/ssl 很好地访问服务器...
server.contextPath=/my
server.tomcat.additional-tld-skip-patterns=*.jar
server.compression.enabled=true
server.port=443
server.ssl.key-store:classpath:local-keystore.jks
server.ssl.key-store-password:password
server.ssl.keyStoreType:JKS
server.ssl.keyAlias:tomcat
遇到错误
org.apache.catalina.LifecycleException: Protocol handler start failed
at org.apache.catalina.connector.Connector.startInternal(Connector.java:1001)
at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183)
at org.apache.catalina.core.StandardService.addConnector(StandardService.java:225)
at org.springframework.boot.web.embedded.tomcat.TomcatWebServer.addPreviouslyRemovedConnectors(TomcatWebServer.java:259)
at org.springframework.boot.web.embedded.tomcat.TomcatWebServer.start(TomcatWebServer.java:197)
at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.startWebServer(ServletWebServerApplicationContext.java:311)
at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.finishRefresh(ServletWebServerApplicationContext.java:164)
at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:549)
at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:142)
at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:775)
at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:397)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:316)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1260)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1248)
at com.jjkane.Application.main(Application.java:65)
Caused by: java.lang.IllegalArgumentException: keystore password was incorrect
at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:114)
at org.apache.tomcat.util.net.AbstractJsseEndpoint.initialiseSsl(AbstractJsseEndpoint.java:85)
at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:224)
at org.apache.tomcat.util.net.AbstractEndpoint.bindWithCleanup(AbstractEndpoint.java:1067)
at org.apache.tomcat.util.net.AbstractEndpoint.start(AbstractEndpoint.java:1149)
at org.apache.coyote.AbstractProtocol.start(AbstractProtocol.java:561)
at org.apache.catalina.connector.Connector.startInternal(Connector.java:998)
... 14 common frames omitted
Caused by: java.io.IOException: keystore password was incorrect
at java.base/sun.security.pkcs12.PKCS12KeyStore.engineLoad(PKCS12KeyStore.java:2108)
at java.base/sun.security.util.KeyStoreDelegator.engineLoad(KeyStoreDelegator.java:243)
at java.base/java.security.KeyStore.load(KeyStore.java:1479)
at org.apache.tomcat.util.net.SSLUtilBase.getStore(SSLUtilBase.java:179)
at org.apache.tomcat.util.net.SSLHostConfigCertificate.getCertificateKeystore(SSLHostConfigCertificate.java:204)
at org.apache.tomcat.util.net.jsse.JSSEUtil.getKeyManagers(JSSEUtil.java:203)
at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:112)
... 20 common frames omitted
java.security.UnrecoverableKeyException: failed to decrypt safe contents entry:
javax.crypto.BadPaddingException: pad block corrupted
更新:修改后出现同样的错误...
server.contextPath=/my
server.tomcat.additional-tld-skip-patterns=*.jar
server.compression.enabled=true
server.port=443
server.ssl.key-store=classpath:local-keystore.p12
server.ssl.key-store-password=tomcat
server.ssl.key-password=tomcat
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=tomcat
【问题讨论】:
是的,keytool用密码“tomcat”解密 【参考方案1】:您可能使用的是 JDK 8u161 之前的 Java 版本,在这种情况下,可以通过将 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 添加到 Java 安装来解决此异常。当使用较长的密钥大小进行加密/解密时,通常会出现问题。充气城堡也是解决这个问题的方法。 更多JCE文件详情请参考oracle网站https://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
另一种解决方案是将您的 java 升级到上述或更高版本。
【讨论】:
【参考方案2】:对于来自 Google 的其他人:虽然这个问题已引导我们找到解决方案,但接受的答案可能不是您应该寻找的答案。
我们有一个非常相似的案例。查看BrokerService 的初始化代码,我们看到它将Bouncycastle 添加为具有相当高优先级的安全提供程序:
try
ClassLoader loader = BrokerService.class.getClassLoader();
Class<?> clazz = loader.loadClass("org.bouncycastle.jce.provider.BouncyCastleProvider");
Provider bouncycastle = (Provider) clazz.newInstance();
Security.insertProviderAt(bouncycastle, 2);
LOG.info("Loaded the Bouncy Castle security provider.");
catch(Throwable e)
// No BouncyCastle found so we use the default Java Security Provider
事实证明,默认的 JDK SunJCE 提供程序能够从我们的 *.p12 密钥库加载密钥,而 Bouncycastle 在尝试这样做时会抛出上述“垫块损坏”错误。我们的解决方案是在 SunJCE 提供者之后移动 Bouncycastle,如下所示:
Security.removeProvider(BouncyCastleProvider.PROVIDER_NAME);
Security.addProvider(new BouncyCastleProvider());
我的猜测是 OP 的问题被解决的原因
添加 Security.addProvider(new BouncyCastleProvider());
...是这样做之前 ActiveMQ被加载保持Bouncycastle在提供者列表的末尾。重要的是它在 SunJCE 之后仍然存在。
【讨论】:
【参考方案3】:尝试使用= 运算符而不是:。
server.ssl.key-store=classpath:local-keystore.jks
server.ssl.key-store-password=password
server.ssl.keyStoreType=JKS
server.ssl.keyAlias=tomcat
参考this
【讨论】:
【参考方案4】:server.ssl.key-store:classpath:local-keystore.jks
尝试添加密钥库的绝对路径。
server.ssl.key-store=pathofyourfile
【讨论】:
相同结果...无法解密安全内容条目:javax.crypto.BadPaddingException: pad block损坏【参考方案5】:我有同样的问题。我将SpringBoot从2.2.4升级到2.3.2,keystore密码错误得到解决,tomcat启动成功。
【讨论】:
以上是关于Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确的主要内容,如果未能解决你的问题,请参考以下文章
如何将 Spring Boot JAR 连接到远程 Oracle 数据库?
带有 http/2 和 ssl 的嵌入式 Tomcat 的 Spring Boot 2.1,gzip 不起作用