अपाचे अपग्रेड जावा क्लाइंट के साथ SSL हैंडशेक विफलता की ओर जाता है

मेरे पास २.४.१० में अपग्रेड करने के लिए २.४.१० है, निम्न एसएसएल कॉन्फ़िगरेशन के साथ ०.१. with अंतर्निहित, अंतर्निहित है:

SSLCipherSuite DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!EXPORT
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on

उन्नयन के साथ, मैं साइफर सुइट्स को बदलना चाहता हूं

SSLCipherSuite DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:AES128-SHA:AES256-SHA:DES-CBC3-SHA:DHE-RSA-AES256-CBC-SHA:TLS_DHE_RSA_WITH_AES_256_CBC_SHA:!EXPORT 

ओपनएसएसएल और जावा के संस्करण हैं:

OpenSSL 0.9.8j-fips 07 Jan 2009

java version "1.7.0_03"
Java(TM) SE Runtime Environment (build 1.7.0_03-b04)
Java HotSpot(TM) 64-Bit Server VM (build 22.1-b02, mixed mode)

जाहिर है, सब कुछ सभी ग्राहकों के साथ एक जैसा रहना चाहिए। हालाँकि, एक जावा 7 एसई क्लाइंट है जो नए अपाचे 2.4.12 और नए कॉन्फिगर के साथ जुड़ने से इंकार करता है, लेकिन पुराने के साथ काम करता है (क्लाइंट से आंतरिक त्रुटि के बाद सर्वर हेलो किया)।

किसी को कुछ विचार है?

अभी तक पूर्ण उत्तर नहीं है, लेकिन कुछ विचार / निर्देश:

वह सिफर परिवर्तन निरर्थक है । आपके द्वारा जोड़ा गया शब्द TLS_DHE_RSA_WITH_AES_256_CBC_SHAमानक RFC प्रारूप में है, जिसका उपयोग Java और Wireshark जैसी कुछ अन्य चीजों द्वारा भी किया जाता है, लेकिन OpenLL द्वारा उपयोग किया जाने वाला प्रारूप नहीं; ओपनएसएसएल प्रारूप वह है DHE-RSA-AES256-SHAजो आपकी सूची में पहले से था / है। इसके अलावा, !EXPORTयहाँ बेकार है; यह किसी भी निर्यात सूट को हटा देगा जो जोड़ा गया था, लेकिन कोई भी नहीं है, और यह किसी भी आगे के चश्मे को वापस जोड़ने से रोकता है, लेकिन आगे कोई चश्मा नहीं हैं।

जावा 7 एसएसएल (जेएसएसई) के कुछ शुरुआती संस्करण, मुझे ठीक से याद नहीं है, लेकिन शायद 7.03 सहित, गलत क्रम में उनकी डिफ़ॉल्ट सिफरलिस्ट थी, जिसके परिणामस्वरूप आवश्यक सिफरसुइट की तुलना में एक गरीब का चयन किया जा सकता था, लेकिन आपके SSLHonorCipherOrder onग्राहक आदेश को अनदेखा करता है। , ताकि यह नहीं हो सके।

Httpd के हाल के संस्करणों ने बड़े डीएच समूहों (डीएचई के लिए, जिसे आप पसंद कर रहे हैं) के लिए डिफ़ॉल्ट करना शुरू कर दिया है, और इससे जावा 7 (और पहले) के लिए कम से कम अपने डिफ़ॉल्ट क्रिप्टो प्रदाताओं का उपयोग करने में समस्या होती है। लेकिन http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile का कहना है कि ये बदलाव 2.4.7 और .10 थे, इसलिए .10 से .12 को आगे कोई बदलाव नहीं करना चाहिए, जिससे वे जानते हों। प्रश्न: क्या आप वास्तव में डीएच 1024 बिट को http://httpd.apache.org/docs/2.4/ssl/ssl_faq.html#javadh के रूप में कॉन्फ़िगर करते हैं ?

यदि ऐसा नहीं है, तो मुझे अधिक डेटा की आवश्यकता होगी । समस्या होने पर httpd लॉग (ओं) में कुछ भी लिखा जाता है? क्या आप समस्या के साथ जावा क्लाइंट से अधिक विवरण प्राप्त कर सकते हैं, एक सटीक अपवाद संदेश की तरह? (क्या यह एक ग्राहक है जिसे आप स्वयं चला सकते हैं, या यह किसी अन्य व्यक्ति या व्यक्तियों से संबंधित है?) क्या आप विंडसरक या टीसीपीडम्प या इसी तरह के एक असफल प्रयास का नेटवर्क कैप्चर कर सकते हैं? यदि अन्य सभी विफल हो जाते हैं, तो क्या कोई जावा क्लाइंट को -Djavax.net.debug=sslया समकक्ष चला सकता है , और परिणामी आउटपुट प्राप्त कर सकता है?

पैरा बताते हुए

जावा 7 एसएसएल के कुछ शुरुआती संस्करण

@ dave_thompson_085 द्वारा मुझे अंतिम समाधान के लिए प्रेरित किया। समस्या और समाधान दोनों को अपाचे वेबसाइट पर अच्छी तरह से वर्णित किया गया है ।

PEM फ़ाइल में जोड़ा जाने वाला एक ब्लॉक है जो जावा SE 7 द्वारा आवश्यक कुछ TLS v1.0 सत्र मापदंडों को मजबूर करता है।