У меня есть программа Java (работающая внутри контейнера tomcat), которая использует реализацию RSA SSL-J для SSL, и веб-сервер apache, настроенный для SSL с использованием mod_ssl/openssl
Когда программа Java пыталась открыть HttpsUrlConnection с сервером apache, ошибки с javax.net.ssl.SSLException: Fatal Alert received: Bad Record Mac
(Трассировка стека исключений не очень полезна, так как sslj.jar запутан)
Проблема не прерывистая. Это происходит каждый раз.
Это из журналов mod_ssl на apache после того, как я установил LogLevel для отладки:
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read certificate verify A
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read certificate verify A`
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read certificate verify A
[Mon Jul 30 22:00:25 2012] [info] [client 172.16.195.208] %%CryptoAuditEntry:: SSL library error 1 in handshake (server <HOSTNAME>:9005)
[Mon Jul 30 22:00:25 2012] [info] %%CryptoAuditEntry:: SSL Library Error: 336130329 error:1408F119:SSL routines:SSL3_GET_RECORD:decryption failed or bad record mac
[Mon Jul 30 22:00:25 2012] [info] [client <IPADDRESS>] %%CryptoAuditEntry:: Connection closed to child 4 with abortive shutdown (server <HOSTNAME>:9005)
Это код стороны Java:
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null /*keyManagers*/, trustAllCerts,
new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
// Don't check the hostname against the certificate name
conn.setHostnameVerifier(new HostnameVerifier() {
public boolean verify(String urlHostname,
SSLSession session) {
return true;
}
});
conn.setDoInput(true);
conn.setDoOutput(true);
conn.setUseCaches(false);
conn.setRequestProperty("METHOD", "POST");
conn.setRequestProperty("Authorization", "Basic " +
credentials);
conn.setRequestProperty("Content-Type", "application/pkcs10");
conn.setReadTimeout(8000);
conn.connect();
Еще один интересный факт заключается в том, что я могу использовать openssl для подключения к серверу с помощью этой команды без каких-либо проблем.
openssl s_client -connect HOST:PORT
Любые указатели?