У меня есть сервер RabbitMQ (версия RabbitMQ 3.6.0 с Erlang OTP 18.1), который поддерживает только TLSv1.2 и шифр {ecdhe_ecdsa, aes_256_cbc, sha384}. Я пытаюсь подключиться к нему с помощью Java-клиента, используя AMQP. Исходный код выглядит следующим образом:Не удается подключиться к серверу RabbitMQ с использованием TLSv1.2 с Java 7
final SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
SSLContext.setDefault(context);
final String[] enabledCipherSuites = { "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384" };
final SSLParameters defaultParams = context.getDefaultSSLParameters();
defaultParams.setCipherSuites(enabledCipherSuites);
final SSLParameters supportedParams = context.getSupportedSSLParameters();
supportedParams.setCipherSuites(enabledCipherSuites);
ConnectionFactory factory = new ConnectionFactory();
factory.useSslProtocol(context);
factory.setHost(RABBITMQ_ADMIN_HOST);
factory.setPort(RABBITMQ_CLIENT_PORT_SSL);
factory.setUsername(RABBITMQ_ADMIN_USER);
factory.setPassword(RABBITMQ_ADMIN_PWD);
return factory.newConnection();
Вот отрывок из файла RabbitMQ конфигурации:
{ssl_options, [{cacertfile, "cacert.pem"},
{certfile, "cert.pem"},
{keyfile, "key.pem"},
{verify, verify_peer},
{versions, ['tlsv1.2']},
{ciphers, [{ecdhe_ecdsa,aes_256_cbc,sha384}]},
{fail_if_no_peer_cert, true}]}
Проблема заключается в том, когда клиент пытается подключиться к серверу, сервер запрещает соединение с следующее сообщение об ошибке:
=ERROR REPORT==== 4-Aug-2016::23:15:24 ===
SSL: hello: tls_handshake.erl:167:Fatal error: insufficient security
на стороне клиента, мы видим исключение Java броска, который выглядит следующим образом:
Received fatal alert: insufficient_security
Thread-1 sun.security.ssl.Alerts.getSSLException(Alerts.java:192),
sun.security.ssl.Alerts.getSSLException(Alerts.java:154),
sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1991),
sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1098),
sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1344),
sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:721),
sun.security.ssl.AppOutputStream.write(AppOutputStream.java:122),
java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:82),
java.io.BufferedOutputStream.flush(BufferedOutputStream.java:140),
java.io.DataOutputStream.flush(DataOutputStream.java:123),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:129),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:134),
com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:277),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:678),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:722)
Самое смешное, что, несмотря на установку измененных наборов шифров по умолчанию и поддерживаемых параметров ssl, когда мы регистрируем поддерживаемые и по умолчанию комплекты шифрования, он показывает все остальное, что также нельзя допускать !! я запустить клиент со следующим дополнительным Params командной строки Java:
-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-Ddeployment.security.TLSv1.2=true
-Ddeployment.security.TLSv1.1=false
-Ddeployment.security.SSLv3=false
Plus, при запуске клиента, я зарегистрировал включенные и по умолчанию шифров. Он показывает целый набор шифрованных наборов вместо того, что я указал.
Может кто-нибудь помочь мне выяснить, как я могу исправить эту проблему? Любой указатель, который поможет мне отладить это, будет очень полезен.
Вы используете его на Centos? – Gabriele
Да, я на centos версии 7.2.1511 –