Java 8上的SQL Server JDBC错误:驱动程序无法使用安全套接字层(SSL)加密与SQL Server建立安全连接

Question

使用Microsoft JDBC驱动程序版本连接到SQL Server数据库时出现以下错误:

com.microsoft.sqlserver.jdbc.SQLServerException:驱动程序无法使用安全套接字层(SSL)加密与SQL Server建立安全连接.错误:"SQL Server返回不完整的响应.连接已关闭.ClientConnectionId:98d0b6f4-f3ca-4683-939e-7c0a0fca5931".

我们最近将应用程序从Java 6和Java 7升级到Java 8.所有运行Java的系统都运行SUSE Linux Enterprise Server 11(x86_64),VERSION = 11,PATCHLEVEL = 3.

以下是我用我编写的Java程序收集的事实,它只是顺序打开和关闭1,000个数据库连接.

• 连接被丢弃,此错误大约占5%-10%.每次连接都不会发生错误.
• 只有Java 8才会出现这个问题.我在Java 7上运行了相同的程序,问题无法重现.这与我们在升级前的生产经验一致.我们在生产中使用Java 7运行时没有遇到任何问题.
• 问题不会出现在运行Java 8的所有Linux服务器上,只会发生在其中一些服务器上.这让我感到困惑,但是当我在不同Linux实例上的相同版本的Linux JVM(1.8.0_60,64位)上运行相同的测试程序时,其中一个Linux实例上不会出现问题,但问题是其他人确实发生过.Linux实例运行的是相同版本的SUSE,它们处于相同的补丁级别.
• 连接到SQL Server 2008和SQL Server 2014服务器/数据库时出现此问题.
• 无论我使用的是4.0版本的SQL Server JDBC驱动程序还是较新的4.1版驱动程序,都会出现此问题.

与网络上的其他人相比,使我的观察结果独一无二的是,虽然问题仅发生在Java 8上,但我无法在运行相同Java 8 JVM的看似相同的Linux服务器上发生问题.其他人也在早期版本的Java上看到了这个问题,但这不是我们的经验.

您可能有任何意见,建议或观察.

Answer 1

您的 url 应如下所示并添加 sql sqljdbc42.jar。这将解决您的问题

url = "jdbc:sqlserver://" +serverName + ":1433;DatabaseName=" + dbName + ";encrypt=true;trustServerCertificate=true;

Answer 2

如果有人来到这里寻找从 PhpStorm 连接到数据库的解决方案，只需在 URL 中的端口后面添加以下内容：

;encrypt=true;trustServerCertificate=true;

我从这个评论中得到了解决方案：SQL Server JDBC Error on Java 8: The driver Could not build a secure connection to SQL Server by using Secure Sockets Layer (SSL) crypto

太感谢了！可以确认它可以在 PhpStorm 2022.1.1 上运行。

Answer 3

我在Linux实例上打开了Java 8 JVM中的SSL日志记录,它重现了这个问题.使用启用SSL日志记录 -Djavax.net.debug=ssl:handshake:verbose.这揭示了一些有用的信息.

我们在生产中使用并且已证明适用于我们的解决方法是在JVM上设置此参数:

 -Djdk.tls.client.protocols=TLSv1

如果您想了解更多详情,请继续阅读.

在可以重现问题的服务器上(同样,只有5-10%的时间),我观察到以下情况:

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 195
main, READ: TLSv1.2 Handshake, length = 1130
*** ServerHello, TLSv1.2
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256]
** TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
*** Diffie-Hellman ServerKeyExchange
--- 8<-- SNIP -----
*** ServerHelloDone
*** ClientKeyExchange, DH
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 133
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 108, 116, 29, 115, 13, 26, 154, 198, 17, 125, 114, 166 }
***
main, WRITE: TLSv1.2 Handshake, length = 40
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT:  warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
main, waiting for close_notify or alert: state 5
main, received EOFException: ignored
main, called closeInternal(false)
main, close invoked again; state = 5
main, handling exception: java.io.IOException: SQL Server returned an incomplete response. The connection has been closed. ClientConnectionId:12a722b3-d61d-4ce4-8319-af049a0a4415

请注意,TLSv1.2由数据库服务器选择并在此交换中使用.我观察到,当连接从有问题的linux服务失败时,TLSv1.2总是被选中的级别.但是,使用TLSv1.2时,连接始终不会失败.他们只有5-10%的时间失败.

现在这是来自没有问题的服务器的交换.其他一切都是平等的.即,连接到相同的数据库,相同版本的JVM(Java 1.8.0_60),相同的JDBC驱动程序等.请注意,在这里,TLSv1由数据库服务器而不是TLSv1.2选择,如故障服务器的情况.

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 207
main, READ: TLSv1 Handshake, length = 604
*** ServerHello, TLSv1
--- 8<-- SNIP -----
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_RSA_WITH_AES_128_CBC_SHA]
** TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
***
*** ServerHelloDone
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1
--- 8<-- SNIP -----
main, WRITE: TLSv1 Handshake, length = 134
main, WRITE: TLSv1 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 26, 155, 166, 89, 229, 193, 126, 39, 103, 206, 126, 21 }
***
main, WRITE: TLSv1 Handshake, length = 48
main, READ: TLSv1 Change Cipher Spec, length = 1
main, READ: TLSv1 Handshake, length = 48
*** Finished

因此,当在Linux JVM和SQL Server之间协商TLSv1时,连接始终是成功的.在协商TLSv1.2时,我们会出现零星的连接故障.

(注意:Java 7(1.7.0_51)总是协商TLSv1,这就是我们使用Java 7 JVM时从未发生过问题的原因.)

我们仍有的悬而未决的问题是:

1. 为什么从2个不同的Linux服务器运行的相同Java 8 JVM将始终协商TLSv1,但是当从另一个Linux服务器连接时,它总是协商TLSv1.2.
2. 还有为什么TLSv1.2协商连接在该服务器上的大部分时间,但不是全部时间成功？

更新6/10/2017: Microsoft的这篇帖子描述了问题及其建议的解决方案.

资源:

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://blogs.msdn.com/b/jdbcteam/archive/2008/09/09/the-driver-could-not-establish-a-secure-connection-to-sql-server-by-using-secure-套接字层-SSL-encryption.aspx

Java 8,JCE无限强度策略和TLS上的SSL握手

http://blogs.msdn.com/b/saponsqlserver/archive/2013/05/10/analyzing-jdbc-connection-issues.aspx

https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#descPhase2

https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls

Answer 4

使用 openjdk 11 可以将以下属性添加到连接 URL 以强制使用 SSL

;integratedSecurity=false;encrypt=false;trustServerCertificate=true;

Answer 5

添加;encrypt=true;trustServerCertificate=true到connection.url。例子

jdbc:sqlserver://localhost\SQLEXPRESS:1433;databaseName=testdb;加密=true;trustServerCertificate=true

并在pom文件中检查兼容编译器版本java与maven的mssql-jdbc的jre版本。像这样

<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>

和

<dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>11.2.1.jre8</version>
</dependency>

编译器 1.8 和 jre8

Answer 6

在升级SQL JDBC Driver之前，请先检查兼容性：

• Sqljdbc.jar 需要 JRE 5 并支持 JDBC 3.0 API
• Sqljdbc4.jar 需要 JRE 6 并支持 JDBC 4.0 API
• Sqljdbc41.jar 需要 JRE 7 并支持 JDBC 4.1 API
• Sqljdbc42.jar 需要 JRE 8 并支持 JDBC 4.2 API

来源：https ://www.microsoft.com/en-us/download/details.aspx?id=11774

Answer 7

• 应用程序属性：

    spring.datasource.url=jdbc:sqlserver://<YourServerName>:1433;database=<YourDatabaseName>;encrypt=true;trustServerCertificate=true;
    spring.datasource.username=root
    spring.datasource.password=1234
    spring.datasource.driverClassName=com.microsoft.sqlserver.jdbc.SQLServerDriver
    spring.jpa.show-sql=true
    spring.jpa.hibernate.dialect=org.hibernate.dialect.SQLServer2012Dialect
    spring.jpa.properties.hibernate.globally_quoted_identifiers=true
    spring.jpa.hibernate.ddl-auto = create-drop

Answer 8

这似乎已在MS SQL JDBC驱动程序的4.2版中得到修复.我创建了一个程序,我连接到服务器1000次,每次尝试之间暂停100ms.使用4.1版本,我每次都可以重现这个问题,尽管它偶尔会发生.在4.2版本中,我无法重现该问题.

Answer 9

感谢@Sunil Kumar 和@Joce。我使用了 jar 和以下语法：

String myDriver = "com.microsoft.jdbc.sqlserver.SQLServerDriver";

String myURL = "jdbc:sqlserver://DB_ipaddress\\DB_instance;" +
               "databaseName=DB_name;" +
               "user=myusername;" +
               "password=mypass;" +
               "encrypt=true;" +
               "trustServerCertificate=true;"; // here the semicolon will be twice like shown

Connection con = DriverManager.getConnection(myURL);