sql >> Database teknologi >  >> RDS >> Sqlserver

SQL Server JDBC-fejl på Java 8:Driveren kunne ikke etablere en sikker forbindelse til SQL Server ved at bruge Secure Sockets Layer (SSL) kryptering

Jeg aktiverede SSL-logning i Java 8 JVM på en Linux-instans, som gengiver problemet. SSL-logning er aktiveret ved hjælp af -Djavax.net.debug=ssl:handshake:verbose . Dette afslørede nogle nyttige oplysninger.

løsningen som vi bruger i produktionen og har vist sig at fungere for os, er at indstille denne parameter på JVM:

 -Djdk.tls.client.protocols=TLSv1
 

Hvis du ønsker flere detaljer, så læs venligst videre.

På en server, hvor problemet kan gengives (igen kun 5-10 % af tiden), observerede jeg følgende:

*** ClientHello, TLSv1.2 --- 8<-- SNIP ----- main, WRITE: TLSv1.2 Handshake, length = 195 main, READ: TLSv1.2 Handshake, length = 1130 *** ServerHello, TLSv1.2 --- 8<-- SNIP ----- %% Initialized: [Session-79, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256] ** TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 --- 8<-- SNIP ----- Algorithm: [SHA1withRSA] --- 8<-- SNIP ----- *** Diffie-Hellman ServerKeyExchange --- 8<-- SNIP ----- *** ServerHelloDone *** ClientKeyExchange, DH --- 8<-- SNIP ----- main, WRITE: TLSv1.2 Handshake, length = 133 --- 8<-- SNIP ----- main, WRITE: TLSv1.2 Change Cipher Spec, length = 1 *** Finished verify_data: { 108, 116, 29, 115, 13, 26, 154, 198, 17, 125, 114, 166 } *** main, WRITE: TLSv1.2 Handshake, length = 40 main, called close() main, called closeInternal(true) main, SEND TLSv1.2 ALERT: warning, description = close_notify main, WRITE: TLSv1.2 Alert, length = 26 main, called closeSocket(true) main, waiting for close_notify or alert: state 5 main, received EOFException: ignored main, called closeInternal(false) main, close invoked again; state = 5 main, handling exception: java.io.IOException: SQL Server returned an incomplete response. The connection has been closed. ClientConnectionId:12a722b3-d61d-4ce4-8319-af049a0a4415

Bemærk, at TLSv1.2 vælges af databaseserveren og bruges i denne udveksling. Jeg har observeret, at når forbindelser fejler fra den problematiske linux-tjeneste, er TLSv1.2 ALTID det niveau, der blev valgt. Forbindelser mislykkes dog ikke ALTID, når TLSv1.2 bruges. De fejler kun 5-10 % af tiden.

Nu er her en udveksling fra en server, der IKKE har problemet. Alt andet er lige. Dvs. at oprette forbindelse til den samme database, samme version af JVM (Java 1.8.0_60), samme JDBC-driver osv. Bemærk, at her TLSv1 er valgt af databaseserveren i stedet for TLSv1.2 som i den defekte servers tilfælde.

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 207
main, READ: TLSv1 Handshake, length = 604
*** ServerHello, TLSv1
--- 8<-- SNIP -----
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_RSA_WITH_AES_128_CBC_SHA]
** TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
***
*** ServerHelloDone
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1
--- 8<-- SNIP -----
main, WRITE: TLSv1 Handshake, length = 134
main, WRITE: TLSv1 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 26, 155, 166, 89, 229, 193, 126, 39, 103, 206, 126, 21 }
***
main, WRITE: TLSv1 Handshake, length = 48
main, READ: TLSv1 Change Cipher Spec, length = 1
main, READ: TLSv1 Handshake, length = 48
*** Finished
 

Så når TLSv1 forhandles mellem Linux JVM og SQL Server, er forbindelser ALTID vellykkede. Når TLSv1.2 forhandles, får vi sporadiske forbindelsesfejl.

(Bemærk:Java 7 (1.7.0_51) forhandler altid TLSv1, hvilket er grunden til, at problemet aldrig opstod for os med en Java 7 JVM.)

De åbne spørgsmål, vi stadig har, er:

  1. HVORFOR er det, at den samme Java 8 JVM, der kører fra 2 forskellige Linux-servere, altid vil forhandle TLSv1, men når den forbinder fra en anden Linux-server, forhandler den altid TLSv1.2.
  2. Og også hvorfor lykkes TLSv1.2-forhandlede forbindelser det meste, men ikke hele tiden, på den server?

Opdatering 6/10/2017: Dette indlæg fra Microsoft beskriver problemet og deres foreslåede løsning.

Ressourcer:

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://blogs.msdn.com/b/jdbcteam/archive/2008/09/09/the-driver-could-not-establish-a-secure-connection-to-sql-server-by-using-secure- sockets-layer-ssl-encryption.aspx

Java 8, JCE Unlimited Strength Policy og SSL Handshake over TLS

http://blogs.msdn.com/b/saponsqlserver/archive/2013/05/10/analyzing-jdbc-connection-issues.aspx

https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#descPhase2

https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls



  1. Formater SQLite-forespørgselsresultater som kolonner med kolonneoverskrifter

  2. Bedste praksis:Vedligeholdelses- og forbedringsopgaver for Oracle Cloud

  3. MySQL-søgning i kommaliste

  4. Hvordan kan jeg oprette forbindelse til SQL Server ved hjælp af integreret sikkerhed med JDBC-driveren?