已收到HANDSHAKE_FAILURE警报

Question

我正在编写Java客户端（在weblogic 10.3上）以调用安全的Web服务。 我已经提供了一个客户证书，我已经安装在cacerts，DemoIdentity.jks和DemoTrust，jks 在我的weblogic中，我已经设置了密钥存储DemoIdentity和DemoTrust。 在weblogic控制台中，我设置了 “双向客户端证书行为：”作为“请求但未强制执行的客户端证书”。 和“启用SSL侦听端口：”我已勾选复选框。

我得到下面的异常试图访问该Web服务：

] FaultActor [null] Detail [<detail><bea_fault:stacktrace xmlns:bea_fault="http: 
//www.bea.com/servers/wls70/webservice/fault/1.0.0">javax.net.ssl.SSLHandshakeEx 
ception: [Security:090497]HANDSHAKE_FAILURE alert received from ************** Check both sides of the SSL configuration for mismatches in supported ciphers, supported protocol versions, trusted CAs, and hos 
tname verification settings. 
     at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireException(Unknow 
n Source) 
     at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireAlertReceived(Un 
known Source) 
     at com.certicom.tls.record.alert.AlertHandler.handle(Unknown Source) 
     at com.certicom.tls.record.alert.AlertHandler.handleAlertMessages(Unknow 
n Source) 
     at com.certicom.tls.record.MessageInterpreter.interpretContent(Unknown S 
ource) 
     at com.certicom.tls.record.MessageInterpreter.decryptMessage(Unknown Sou 
rce) 
     at com.certicom.tls.record.ReadHandler.processRecord(Unknown Source) 
     at com.certicom.tls.record.ReadHandler.readRecord(Unknown Source) 
     at com.certicom.tls.record.ReadHandler.readUntilHandshakeComplete(Unknow 
n Source) 
     at com.certicom.tls.interfaceimpl.TLSConnectionImpl.completeHandshake(Un 
known Source) 
     at com.certicom.tls.record.WriteHandler.write(Unknown Source) 
     at com.certicom.io.OutputSSLIOStreamWrapper.write(Unknown Source) 
     at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65 
) 
     at java.io.BufferedOutputStream.flush(BufferedOutputStream.java:123) 
     at java.io.FilterOutputStream.flush(FilterOutputStream.java:123) 
     at weblogic.net.http.HttpURLConnection.writeRequests(HttpURLConnection.j 
ava:158) 
     at weblogic.net.http.HttpURLConnection.getInputStream(HttpURLConnection. 
java:363) 
     at weblogic.net.http.SOAPHttpsURLConnection.getInputStream(SOAPHttpsURLC 
onnection.java:37) 
     at weblogic.wsee.connection.transport.TransportUtil.getInputStream(Trans 
portUtil.java:85) 
     at weblogic.wsee.connection.transport.http.HTTPClientTransport.receive(H 
TTPClientTransport.java:271) 
     at weblogic.wsee.connection.soap.SoapConnection.receive(SoapConnection.j 
ava:485) 
     at weblogic.wsee.ws.dispatch.client.ConnectionHandler.handleResponse(Con 
nectionHandler.java:179) 
     at weblogic.wsee.handler.HandlerIterator.handleResponse(HandlerIterator. 
java:287) 
     at weblogic.wsee.handler.HandlerIterator.handleResponse(HandlerIterator. 
java:271) 
     at weblogic.wsee.ws.dispatch.client.ClientDispatcher.handleResponse(Clie 
ntDispatcher.java:213) 
     at weblogic.wsee.ws.dispatch.client.ClientDispatcher.dispatch(ClientDisp 
atcher.java:150) 
     at weblogic.wsee.ws.WsStub.invoke(WsStub.java:87) 
     at weblogic.wsee.jaxrpc.StubImpl._invoke(StubImpl.java:339) 
     at sips_cn_contract.PaymentService_Stub.processPaymentWebInit(Unknown So 
urce) 
     at uk.gov.gateway.payments.SipsStartupController.handleRequest(SipsStart 
upController.java:73) 
     at org.springframework.web.servlet.mvc.SimpleControllerHandlerAdapter.ha 
ndle(SimpleControllerHandlerAdapter.java:45) 
     at org.springframework.web.servlet.DispatcherServlet.doService(Dispatche 
rServlet.java:485) 
     at org.springframework.web.servlet.FrameworkServlet.serviceWrapper(Frame 
workServlet.java:342) 
     at org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServl 
et.java:318) 
     at javax.servlet.http.HttpServlet.service(HttpServlet.java:707) 
     at javax.servlet.http.HttpServlet.service(HttpServlet.java:820) 
     at weblogic.servlet.internal.StubSecurityHelper$ServletServiceAction.run 
(StubSecurityHelper.java:227) 
     at weblogic.servlet.internal.StubSecurityHelper.invokeServlet(StubSecuri 
tyHelper.java:125) 
     at weblogic.servlet.internal.ServletStubImpl.execute(ServletStubImpl.jav 
a:300) 
     at weblogic.servlet.internal.ServletStubImpl.execute(ServletStubImpl.jav 
a:183) 
     at weblogic.servlet.internal.WebAppServletContext$ServletInvocationActio 
n.doIt(WebAppServletContext.java:3686) 
     at weblogic.servlet.internal.WebAppServletContext$ServletInvocationActio 
n.run(WebAppServletContext.java:3650) 
     at weblogic.security.acl.internal.AuthenticatedSubject.doAs(Authenticate 
dSubject.java:321) 
     at weblogic.security.service.SecurityManager.runAs(SecurityManager.java: 
121) 
     at weblogic.servlet.internal.WebAppServletContext.securedExecute(WebAppS 
ervletContext.java:2268) 
     at weblogic.servlet.internal.WebAppServletContext.execute(WebAppServletC 
ontext.java:2174) 
     at weblogic.servlet.internal.ServletRequestImpl.run(ServletRequestImpl.j 
ava:1446) 
     at weblogic.work.ExecuteThread.execute(ExecuteThread.java:201) 
     at weblogic.work.ExecuteThread.run(ExecuteThread.java:173) 
</bea_fault:stacktrace></detail>]; nested exception is: 

但是在Firefox中，我已经添加了证书，当我在网上查看service.It的WSDL促使我与证书和我点击确定后，它呈现wsdl文件的安全Web服务。 任何人都知道我该怎么做才能使客户端使用Java？

Answer 1

您可能未正确导入您的证书和密钥。您可以通过添加以下到一个JUnit或类似测试您的密钥库：

static { 
     System.setProperty("javax.net.ssl.keyStoreType", "pkcs12"); // or whatever 
     System.setProperty("javax.net.ssl.keyStore", "c:/folder/mycert.p12"); 
     System.setProperty("javax.net.ssl.keyStorePassword", "mypassword"); 
     System.setProperty("javax.net.debug", "ssl"); 
} 

的javax.net.debug属性设置为ssl将打印您的证书链和所有其他SSL记录，这可能是有益的。您需要将证书等添加到您的应用程序容器中，就像您在生产中已有的一样。

尝试使用SSL进行调试，看看有什么结果。很可能你只需要正确配置weblogic。检查是否有自定义SSL端点配置（即，当URI是/ test/test使用keyStore XYZ时）。

Answer 2

我认为，真正的问题是，Weblogic的被不使用的JDK提供的标准太阳HTTPS实现，而是使用自己的，因为显然在这条线：

at weblogic.net.http.SOAPHttpsURLConnection.getInputStream(SOAPHttpsURLConnection.java:37) 

标准的Sun实现类被称为javax.net.ssl.HttpsURLConnection。

因此，Weblogic内部的证书策略与独立Java程序不同。我刚刚发现了这个调试类似的问题。

本页面建议使用Sun实现的，而不是Weblogic的： http://webtech-kapil.blogspot.com/2010/06/javalangclasscastexception.html

他们建议用下列标志启动WL：

-DUseSunHttpHandler=true

将使用标准的Sun的SSL实现。不过，我个人还没有尝试过。

感谢，

伊戈尔