如何指定在我的 axis2 https 发件人上使用哪些密码?

How do I specify which ciphers to use on my axis2 https sender?

我们的 WSO2 ESB 连接到 SSL 服务器,该服务器最近已修补以删除 weak/insecure SSL 协议和密码。通过将以下参数添加到 axis2_blocking_client.xml 配置文件

中的 https 发送器元素,我已经能够更改 Axis2 https 发送器使用的协议
<transportSender name="https"
                 class="org.apache.axis2.transport.http.CommonsHTTPTransportSender">
    <parameter name="PROTOCOL">HTTP/1.1</parameter>
    <parameter name="HttpsProtocols">TLSv1,TLSv1.1,TLSv1.2</parameter>
    <parameter name="Transfer-Encoding">chunked</parameter>
    <parameter name="cacheHttpClient">true</parameter>
    <parameter name="defaultMaxConnectionsPerHost">200</parameter>
</transportSender>

但是 ESB 仍然无法连接到服务器,出现 SSL 握手错误。查看服务器上的数据包捕获,我们看到 ESB 提供的密码 none 在服务器接受的密码列表中。

所以我的问题是,如何在我的 axis2 https 发送器配置中指定使用(或不使用)哪些密码?

P.S。 这是服务器接受的内容

 RSA_WITH_RC4_128_SHA
 RSA_WITH_3DES_EDE_CBC_SHA
 RSA_WITH_AES_128_CBC_SHA
 RSA_WITH_AES_256_CBC_SHA
 RSA_WITH_AES_128_CBC_SHA256
 RSA_WITH_AES_256_CBC_SHA256
 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

下面是 ESB 提供的内容

 TLS_RSA_WITH_AES_128_CBC_SHA
 TLS_DHE_RSA_WITH_AES_128_CBC_SHA
 TLS_DHE_DSS_WITH_AES_128_CBC_SHA
 TLS_RSA_WITH_RC4_128_SHA
 TLS_RSA_WITH_3DES_EDE_CBC_SHA
 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
 TLS_RSA_WITH_RC4_128_MD5

P.P.S。 这是从服务器的角度捕获的数据包:

新的 TCP 连接 #3:XXX.XXX.XXX.XXX(40922) <-> XXX.XXX.XXX.XXX(8006) 1 1 1435165035.7617 (0.0292) C>SV3.1(185) 握手 客户你好

    Version 3.1
    random[32]=
      55 8a e1 6b f3 30 a8 68 42 dd f0 b4 96 c6 39 9d
      15 78 3d bd b2 77 2b 76 39 82 c4 2e 98 be 71 92

    cipher suites
    Unknown value 0xc009
    Unknown value 0xc013
    TLS_RSA_WITH_AES_128_CBC_SHA
    Unknown value 0xc004
    Unknown value 0xc00e
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    Unknown value 0xc007
    Unknown value 0xc011
    TLS_RSA_WITH_RC4_128_SHA
    Unknown value 0xc002
    Unknown value 0xc00c
    Unknown value 0xc008
    Unknown value 0xc012
    TLS_RSA_WITH_3DES_EDE_CBC_SHA
    Unknown value 0xc003
    Unknown value 0xc00d
    TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
    TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
    TLS_RSA_WITH_RC4_128_MD5
    Unknown value 0xff
    compression methods
              NULL

1 2 1435165035.7617 (0.0000) S>CV3.1(2) 警报 致命级 值 handshake_failure 1 1435165035.7618 (0.0000) S>C TCP FIN

我没有检查最新版本的 Axis 2,但您应该能够使用与 this question.

中描述的相同原理来设置协议和密码套件

基本上,您需要向 Apache HTTP Client 3.x 注册 SecureProtocolFactory(如果它仍在使用 Axis 2):

Protocol.registerProtocol("https", new Protocol("https",
   (ProtocolSocketFactory)secureProtocolSocketFactory, 443));

您可以将工厂的默认行为扩展或委托给 existing implementation。但是,在从 createSocket 方法返回 SSLSocket 实例之前,请使用您需要的设置调用 setEnabledCipherSuites(...)setEnabledProtocols(...)

也就是说,根据您的客户端正在发送的密码套件列表,并且基于根本不会配置它的假设(因此它将使用默认设置),我猜是您可能 运行 旧版本的 JRE(参见 cipher suite table in the SunJSSE provider documentation)。

我不确定 Axis2 如何通过代码偏离默认设置,但如果您能够使用 Java 8,可能值得尝试新的 jdk.tls.client.protocols system property(尽管Java8、TLS 1.2 应该默认启用)。在这种情况下,您可能根本不需要更改任何代码。如果可能,使用 JCE Unlimited Strength Jurisdiction Policy Files 也有助于 AES 256 密码套件。

根据您的编辑,您的客户端似乎实际上发送了比您想象的更多的密码套件名称。您用来转储 ClientHello 的内容无法算出这些未知值是什么,但它包含的密码套件比您写下的要多。 0xc0009 将是 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA(参见 full list). In terms of naming, the TLS_ or SSL_ prefix is rather flexible depending on the tool you use。OpenSSL 和 Java 名称也不完全相同。

虽然这个答案应该回答“如何指定在我的 axis2 https 发送器上使用哪些密码?”,但这可能无法帮助您解决实际问题。