При проверке ssl Ошибка

0

1

Доброе время суток Centos 6.6 под webserver Методы написанные на tomcat7 java нужно было прописать https по порту 8181 Все работает отлично ssl прописывал не в apache а в tomcat настройках Но при отправке с клиентской стороны запрос выдает ошибку

* About to connect() to domain.com port 8181 * Trying 10.10.10.10... connected * Connected to domain.com (10.10.10.10) port 8181 * successfully set certificate verify locations: * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * SSLv2, Client hello (1): error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure * Closing connection #0 curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Или проверил через онлайн сервис ssl на моем домене Unable to connect server ssl 2.0 он даже до tls1 не дошел незнаю как решить проблему

Ссылка

←	Запускаем Tor на Debian

Устройства подключенные по WiFi в локальной сети не видят друг друга

→

v2

оно тухлое и obsolete, многие его закрывают уже.

anonymous
(11.05.15 12:09:20 MSK)

Ответ на: комментарий от anonymous 11.05.15 12:09:20 MSK

v2

Ну это я знаю что же поделать если сервис требует Нужно делать

lion77pnh
(11.05.15 12:35:53 MSK) автор топика

Ответ на: v2 от lion77pnh 11.05.15 12:35:53 MSK

что это за говносервис такой, чтоб моей ноги там не было? ладно TLSv1, его надо саппортить ради старых XMPP-клиентов и мобильников, а такая древнота...

anonymous
(11.05.15 13:11:04 MSK)

Ответ на: комментарий от anonymous 11.05.15 13:11:04 MSK

v2

Вот такой сервис платежный!

lion77pnh
(11.05.15 13:28:03 MSK) автор топика

Ссылка

SSLv2 не хорошая вещь. она вроде по умолчанию выключена. её надо включать принудительно. Но вообще это делать не рекомендуется т.к. геморра будет всё равно много.

https://blogs.oracle.com/java-platform-group/entry/diagnosing_tls_ssl_and_https

Что-то типа такого

-Dhttps.protocols=TLSv1.2,SSLv2Hello
<Connector sslProtocol=«TLS» sslEnabledProtocols=«TLSv1.2,SSLv2Hello» ... />

при запуске выстави -Djavax.net.debug=all и получишь инфу о игнорировании сертификатов и протоколов и т.п. инфу.

vtVitus ★★★★★
(12.05.15 14:19:43 MSK)
Последнее исправление: vtVitus 12.05.15 14:26:40 MSK (всего исправлений: 2)

Ответ на: комментарий от vtVitus 12.05.15 14:19:43 MSK

Спасибо щас проверю

Ошибка еще вот такая вот когда клиент обращается на мой сервер

12:04:22,606 INFO Thread-4 WebServiceWorker:downloadCertificate:838 - start download certificat for: domain.com:8443 pathks:/usr/java/jre1.6.0_45/lib/security/cacerts 12:04:22,607 INFO Thread-4 WebServiceWorker:downloadCertificate:851 - loading keystore /usr/java/jre1.6.0_45/lib/security/cacerts... Opening connection to domain.com:8443...

12:04:22,631 INFO Thread-4 WebServiceWorker:downloadCertificate:870 - Starting SSL handshake... 12:04:22,640 ERROR Thread-4 WebServiceWorker:downloadCertificate:876 - javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 12:04:22,641 ERROR Thread-4 WebServiceWorker:downloadCertificate:881 - Could not obtain server certificate chain 12:04:22,641 ERROR Thread-4 WebServiceWorker:downloadCertificate:911 - java.lang.NullPointerException Якобы связанно что не могут скачать сертификат

lion77pnh
(12.05.15 16:21:40 MSK) автор топика

Ответ на: Спасибо щас проверю от lion77pnh 12.05.15 16:21:40 MSK

а ты его добавил ? Типа такого

keytool -import -trustcacerts -alias abctest -file abctest.cer -keystore cacerts

у вас что к платежкой системе нет никакой документации???

vtVitus ★★★★★
(12.05.15 21:35:16 MSK)
Последнее исправление: vtVitus 12.05.15 21:36:47 MSK (всего исправлений: 1)

Ответ на: комментарий от vtVitus 12.05.15 21:35:16 MSK

Добавил

Да добавил ведь работает https://domain.com:8443 если в браузере вбиваю все работает а вот именно передача сертификата не работает на тестовом серваке работает а вот на боевом вот такая вот ошибка при передачи сертификата !!!

lion77pnh
(13.05.15 07:42:13 MSK) автор топика

Ответ на: Добавил от lion77pnh 13.05.15 07:42:13 MSK

хз.

но это

Could not obtain server certificate chain

возникало при переходе с 1.6 на 1.7. Так что проверь что версии java одинаковые.

vtVitus ★★★★★
(13.05.15 13:44:39 MSK)

Ответ на: комментарий от vtVitus 13.05.15 13:44:39 MSK

Проверил

Да у клиента стоит java 1.6 но у меня стоят две java 1.6 и 1.7 я поставил 1.6 но все равно такая же херня но вот у меня кое что здесь вышло если я делаю на своем Пк запрос на сервер вот такой openssl s_client -connect domain.com:8443 > my.key То он скачивает сертификат и по команде cat my.key он выводит содержимое Теперь мне нужен совет проблема у меня на сервере или у клиента ?

lion77pnh
(14.05.15 08:22:26 MSK) автор топика

Ответ на: Проверил от lion77pnh 14.05.15 08:22:26 MSK

без понятия. добавляй -Djavax.net.debug=all и изучай выхлоп. и у каждой java свой keystore соответственно, если меняешь java, ключи надо добавлять во все.

vtVitus ★★★★★
(14.05.15 12:51:03 MSK)

Ответ на: комментарий от vtVitus 14.05.15 12:51:03 MSK

Есть разница?

Есть разница в версиях java keytool генерированным сертификатом ?

lion77pnh
(14.05.15 16:22:37 MSK) автор топика

Ответ на: Есть разница? от lion77pnh 14.05.15 16:22:37 MSK

я всегда придерживаюсь правила - keytool должен быть той же версии что и java.

vtVitus ★★★★★
(14.05.15 18:11:41 MSK)

Ответ на: комментарий от vtVitus 14.05.15 18:11:41 MSK

Влияние

не думаю что это влияет от версии java

lion77pnh
(15.05.15 15:40:12 MSK) автор топика

Ссылка

Ответ на: комментарий от vtVitus 14.05.15 18:11:41 MSK

Решение

Решение проблемы было простым будем использовать без https Простой запрос на https

lion77pnh
(27.05.15 15:31:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Запускаем Tor на Debian

Admin