那些遇到过的问题

为什么 Spring Boot 应用程序和 Consul 之间的 SSL 连接在几分钟后失败?

jhk*_*rus 9 java spring-boot consul tls1.2 spring-cloud-consul

我正在使用新版本的 Ubuntu、Consul 和 Spring Boot 升级环境。乍一看,一切似乎都运行良好。该应用程序连接到 Consul,请求其配置并启动。然而,几分钟后,出现了一些中断,此消息大约每 2 秒重复一次:

com.ecwid.consul.transport.TransportException: javax.net.ssl.SSLHandshakeException: Remote host terminated the handshake
    at com.ecwid.consul.transport.AbstractHttpTransport.executeRequest(AbstractHttpTransport.java:77)
    at com.ecwid.consul.transport.AbstractHttpTransport.makeGetRequest(AbstractHttpTransport.java:34)
    at com.ecwid.consul.v1.ConsulRawClient.makeGetRequest(ConsulRawClient.java:128)
    at com.ecwid.consul.v1.catalog.CatalogConsulClient.getCatalogServices(CatalogConsulClient.java:120)
    at com.ecwid.consul.v1.ConsulClient.getCatalogServices(ConsulClient.java:372)
    at org.springframework.cloud.consul.discovery.ConsulCatalogWatch.catalogServicesWatch(ConsulCatalogWatch.java:129)
    at org.springframework.scheduling.support.DelegatingErrorHandlingRunnable.run(DelegatingErrorHandlingRunnable.java:54)
    at java.base/java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:515)
    at java.base/java.util.concurrent.FutureTask.runAndReset(FutureTask.java:305)
    at java.base/java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:305)
    at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1128)
    at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:628)
    at java.base/java.lang.Thread.run(Thread.java:834)
Caused by: javax.net.ssl.SSLHandshakeException: Remote host terminated the handshake
    at java.base/sun.security.ssl.SSLSocketImpl.handleEOF(SSLSocketImpl.java:1313)
    at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1152)
    at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1055)
    at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:395)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:394)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:353)
    at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:134)
    at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:353)
    at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:380)
Run Code Online (Sandbox Code Playgroud)

我追踪了消息每 2 秒出现一次到应用程序运行状况检查的事实。一旦错误第一次发生,它会在每次后续的健康检查中继续发生。这是通过关闭健康检查并重新启动来确认的。当达到 Consul-data 上的 TTL 时,这导致错误仅发生一次。

我对问题的理解到此结束。我试图将其追溯到几件事,但这些都没有找到解决方案:

  • 检查证书- 使用的证书由 Vault 生成,由中间证书签名,由自签名根证书签名。然后将它们与密钥一起放入 pkcs12 包中并提供给应用程序。这适用于所有 TLS 连接,也适用于 CLI 工具和curl. 这似乎是一个死胡同。
  • 网络连接- 由于连接正在重置,我尝试查看是由于防火墙还是安全组问题。但是,相关端口 (8501) 对 TCP 和 UDP 流量都是开放的,并且所有手动测试都nc显示这些端口是可访问的。
  • IPv6 错误- 在某处,我发现一个帖子说这可能是由于 IPv6 的错误造成的。我尝试在机器上关闭 IPv6,重新启动所有内容并重试。没有运气,仍然是同样的错误。
  • Consul 的版本- 我尝试在我们的旧环境中运行该应用程序,其中 Consul 1.2.3 正在运行并且那里的错误没有出现。我仍在尝试找出是否有特定的 Consul 版本开始出现此问题,但尚未找到。
  • TLS 错误- 在 Consul 1.2.3 和 1.7.2 之间,Consul 的 TLS 支持以及底层 Go TLS 实现发生了一些变化。在使用 Consul 1.4.0 进行测试时发现了这一点,它提供了一个稍微不同的 TLS 错误。互联网上的一些建议是 Go 和 OpenJDK 之间存在冲突的实现。我尝试强制 Java 应用程序使用 TLS 1.2,但同样没有运气。
  • 握手调试- 根据评论中的提示,我过去常常-Djavax.net.debug=ssl:handshake了解握手期间发生的情况。在最初的几分钟内,产生的额外输出在我看来就像正常的握手。一旦出现问题,握手的输出会在“生成客户端 Hello 消息”和“远程主机终止握手”之后立即停止。我无法对这个连接的另一端做同样的事情。Consul 是一个 Golang 应用程序。如果有人知道如何为 Golan 应用程序获取相同的调试信息,请提供建议。

我希望有人知道如何找到这个问题的原因,或者更好的是,有一个解决方案。

jhk*_*rus 4

经过更多的挖掘和尝试其他版本的事情之后。我发现使用 GraalVM 会产生不同的但更具描述性的错误。当尝试连接到 Consul 应用程序时,它会立即终止并显示以下消息:

Caused by: javax.net.ssl.SSLHandshakeException: extension (5) should not be presented in certificate_request
    at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:131)
    at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:117)
    at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:307)
    at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:263)
    at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:254)
    at java.base/sun.security.ssl.SSLExtensions.<init>(SSLExtensions.java:90)
    at java.base/sun.security.ssl.CertificateRequest$T13CertificateRequestMessage.<init>(CertificateRequest.java:818)
    at java.base/sun.security.ssl.CertificateRequest$T13CertificateRequestConsumer.consume(CertificateRequest.java:922)
    at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
    at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:443)
    at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
    at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:177)
    at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
    at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1151)
    at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1062)
    at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:394)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:353)
    at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:134)
    at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:353)
    at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:380)
    at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:236)
    at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:184)
    at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:88)
    at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:110)
    at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:184)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:71)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:220)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:164)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:139)
    at com.ecwid.consul.transport.AbstractHttpTransport.executeRequest(AbstractHttpTransport.java:61)
Run Code Online (Sandbox Code Playgroud)

这让我在 Golang GitHub 页面上遇到了一个问题: https: //github.com/golang/go/issues/35722。它详细介绍了不同人提出的类似问题,但细节总是略有不同。在该线程中,提到了 Go 和 Java 之间的 TLS 1.3 实现之间的差异。OpenJDK 维护者也参与并参考了这个问题:https://bugs.openjdk.java.net/browse/JDK-8236039

它已被修复并关闭,但在我的任何常规二进制发行版中尚不可用。我将尝试检查该版本是否确实解决了问题。但是,有一个解决方法,即强制 Java 仅使用 TLS1.2。-Djdk.tls.client.protocols=TLSv1.2您可以通过添加到启动参数来做到这一点。

归档时间:

查看次数:

943 次

最近记录:

5 年,3 月 前
相关归档
为什么打印"B"比打印"#"要慢得多? 2662
Android Activity ClassNotFoundException - 尝试了一切 80
如何在自定义筛选器中使用Java配置注入AuthenticationManager 74
为什么接口和xml映射器文件必须在同一个包中并且具有相同的名称? 6
如何使用maven for spring-boot在模块之间共享application.properties 6
当需要nativeJdbcExtractor时,Spring 5 JDBC方法是什么? 6
如何在Spring Boot应用程序中配置Servlet初始化参数 5
Spring Boot集成测试抛出错误“ java.lang.IllegalStateException:阻止读取5000 MILLISECONDS超时” 5
使用Spring的@Value注入Map &lt;String,List &lt;String &gt;&gt; 5
Starter autoconfig bean 始终优先于自定义 autoconfig bean 5
难疑归档
使用Git将特定文件重置或还原到特定版本? 4255
如何制作一系列功能装饰器? 2647
C#的正确版本号是多少? 2422
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
为什么在数组迭代中使用"for ... in"是一个坏主意? 1761
动态创建元素的事件绑定? 1677
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
为什么在重写Equals方法时重写GetHashCode很重要? 1371
在对象名称之前单个和双下划线的含义是什么? 1205
如果我已经开始使用rebase,如何将两个提交合并为一个? 1111