Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确

Posted

技术标签:

【中文标题】Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确【英文标题】:Spring Boot 2.1 embedded Tomcat - keystore password was incorrect 【发布时间】:2019-05-23 04:29:53 【问题描述】:

更新 -> 添加 Security.addProvider(new BouncyCastleProvider());修复了这个问题

以下错误是由于在我的配置中添加了 ActiveMQ Broker 引起的。如果我删除 JMS 配置,此错误就会消失。

 java.security.UnrecoverableKeyException: failed to decrypt safe contents entry:
    javax.crypto.BadPaddingException: pad block corrupted  

Spring Boot 2.1.1.RELEASE 带有 SSL 的嵌入式 Tomcat 活动MQ @EnableJMS

更新:我从应用程序中删除了我的 JMSConfiguration.class,一切都开始工作了。 @EnableJMS 必须做一些覆盖某些事情的事情。我将系统地注释掉该配置类中的 bean,直到找到确切的罪魁祸首。我从未想过我的 JMS Active MQ 配置会与嵌入式 Tomcat 服务器的 SSL 配置发生冲突。

我已将其范围缩小到以下与 JMS 相关的 bean,这就是原因。如果我完全摆脱了 JMS 配置,那么我不会收到密码错误。这些东西看似无关,但不知何故。

@Bean
public BrokerService broker() throws Exception 
    final BrokerService broker = new BrokerService();

使用下面的配置,启动 Spring Boot 时出现错误。如果我删除所有 @Configuration 类并启动 Spring Boot,则此配置可以正常工作。我已经尝试过 PKCS、JKS 并且我已经尝试过 file: 并且我已经移动了文件并且没有任何乐趣。我知道密码是正确的,因为它会正常启动,如果我删除我的配置类并且我可以使用 443/ssl 很好地访问服务器...

server.contextPath=/my
server.tomcat.additional-tld-skip-patterns=*.jar
server.compression.enabled=true
server.port=443
server.ssl.key-store:classpath:local-keystore.jks
server.ssl.key-store-password:password
server.ssl.keyStoreType:JKS
server.ssl.keyAlias:tomcat

遇到错误

    org.apache.catalina.LifecycleException: Protocol handler start failed
    at org.apache.catalina.connector.Connector.startInternal(Connector.java:1001)
    at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183)
    at org.apache.catalina.core.StandardService.addConnector(StandardService.java:225)
    at org.springframework.boot.web.embedded.tomcat.TomcatWebServer.addPreviouslyRemovedConnectors(TomcatWebServer.java:259)
    at org.springframework.boot.web.embedded.tomcat.TomcatWebServer.start(TomcatWebServer.java:197)
    at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.startWebServer(ServletWebServerApplicationContext.java:311)
    at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.finishRefresh(ServletWebServerApplicationContext.java:164)
    at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:549)
    at org.springframework.boot.web.servlet.context.ServletWebServerApplicationContext.refresh(ServletWebServerApplicationContext.java:142)
    at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:775)
    at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:397)
    at org.springframework.boot.SpringApplication.run(SpringApplication.java:316)
    at org.springframework.boot.SpringApplication.run(SpringApplication.java:1260)
    at org.springframework.boot.SpringApplication.run(SpringApplication.java:1248)
    at com.jjkane.Application.main(Application.java:65)
Caused by: java.lang.IllegalArgumentException: keystore password was incorrect
    at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:114)
    at org.apache.tomcat.util.net.AbstractJsseEndpoint.initialiseSsl(AbstractJsseEndpoint.java:85)
    at org.apache.tomcat.util.net.NioEndpoint.bind(NioEndpoint.java:224)
    at org.apache.tomcat.util.net.AbstractEndpoint.bindWithCleanup(AbstractEndpoint.java:1067)
    at org.apache.tomcat.util.net.AbstractEndpoint.start(AbstractEndpoint.java:1149)
    at org.apache.coyote.AbstractProtocol.start(AbstractProtocol.java:561)
    at org.apache.catalina.connector.Connector.startInternal(Connector.java:998)
    ... 14 common frames omitted
Caused by: java.io.IOException: keystore password was incorrect
    at java.base/sun.security.pkcs12.PKCS12KeyStore.engineLoad(PKCS12KeyStore.java:2108)
    at java.base/sun.security.util.KeyStoreDelegator.engineLoad(KeyStoreDelegator.java:243)
    at java.base/java.security.KeyStore.load(KeyStore.java:1479)
    at org.apache.tomcat.util.net.SSLUtilBase.getStore(SSLUtilBase.java:179)
    at org.apache.tomcat.util.net.SSLHostConfigCertificate.getCertificateKeystore(SSLHostConfigCertificate.java:204)
    at org.apache.tomcat.util.net.jsse.JSSEUtil.getKeyManagers(JSSEUtil.java:203)
    at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:112)
    ... 20 common frames omitted
 java.security.UnrecoverableKeyException: failed to decrypt safe contents entry:
        javax.crypto.BadPaddingException: pad block corrupted  

更新:修改后出现同样的错误...

server.contextPath=/my
server.tomcat.additional-tld-skip-patterns=*.jar
server.compression.enabled=true
server.port=443
server.ssl.key-store=classpath:local-keystore.p12
server.ssl.key-store-password=tomcat
server.ssl.key-password=tomcat
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=tomcat

【问题讨论】:

是的,keytool用密码“tomcat”解密 【参考方案1】:

您可能使用的是 JDK 8u161 之前的 Java 版本,在这种情况下,可以通过将 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 添加到 Java 安装来解决此异常。当使用较长的密钥大小进行加密/解密时,通常会出现问题。充气城堡也是解决这个问题的方法。 更多JCE文件详情请参考oracle网站https://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

另一种解决方案是将您的 java 升级到上述或更高版本。

【讨论】:

【参考方案2】:

对于来自 Google 的其他人:虽然这个问题已引导我们找到解决方案,但接受的答案可能不是您应该寻找的答案。

我们有一个非常相似的案例。查看BrokerService 的初始化代码,我们看到它将Bouncycastle 添加为具有相当高优先级的安全提供程序:

try 
    ClassLoader loader = BrokerService.class.getClassLoader();
    Class<?> clazz = loader.loadClass("org.bouncycastle.jce.provider.BouncyCastleProvider");
    Provider bouncycastle = (Provider) clazz.newInstance();
    Security.insertProviderAt(bouncycastle, 2);
    LOG.info("Loaded the Bouncy Castle security provider.");
 catch(Throwable e) 
    // No BouncyCastle found so we use the default Java Security Provider

事实证明,默认的 JDK SunJCE 提供程序能够从我们的 *.p12 密钥库加载密钥,而 Bouncycastle 在尝试这样做时会抛出上述“垫块损坏”错误。我们的解决方案是 SunJCE 提供者之后移动 Bouncycastle,如下所示:

Security.removeProvider(BouncyCastleProvider.PROVIDER_NAME);
Security.addProvider(new BouncyCastleProvider());

我的猜测是 OP 的问题被解决的原因

添加 Security.addProvider(new BouncyCastleProvider());

...是这样做之前 ActiveMQ被加载保持Bouncycastle在提供者列表的末尾。重要的是它在 SunJCE 之后仍然存在。

【讨论】:

【参考方案3】:

尝试使用= 运算符而不是:

server.ssl.key-store=classpath:local-keystore.jks    
server.ssl.key-store-password=password
server.ssl.keyStoreType=JKS
server.ssl.keyAlias=tomcat

参考this

【讨论】:

【参考方案4】:

server.ssl.key-store:classpath:local-keystore.jks

尝试添加密钥库的绝对路径。

server.ssl.key-store=pathofyourfile

【讨论】:

相同结果...无法解密安全内容条目:javax.crypto.BadPaddingException: pad block损坏【参考方案5】:

我有同样的问题。我将SpringBoot从2.2.4升级到2.3.2,keystore密码错误得到解决,tomcat启动成功。

【讨论】:

以上是关于Spring Boot 2.1 嵌入式 Tomcat - 密钥库密码不正确的主要内容,如果未能解决你的问题,请参考以下文章

如何将 Spring Boot JAR 连接到远程 Oracle 数据库?

带有 http/2 和 ssl 的嵌入式 Tomcat 的 Spring Boot 2.1,gzip 不起作用

带有嵌入式 Tomcat 的 Spring Boot 忽略了方法角色

spring boot 使用 jsp视图(巨坑)

通过spring boot构建solr查询实例

Elastic Beanstalk 工作层上的 Spring Boot