SSLにRSA SSL-J実装を使用するJavaプログラム(Tomcatコンテナー内で実行)と、mod_ssl/opensslを使用してSSL用に構成されたApache Webサーバーがあります
Java プログラムが Apache サーバーへの HttpsUrlConnection を開こうとすると、エラーjavax.net.ssl.SSLException: Fatal Alert received: Bad Record Mac
(sslj.jar は難読化されているため、例外スタックトレースはあまり役に立ちません)
問題は断続的ではありません。それは毎回起こります。
これは、LogLevel を debug に設定した後の Apache の mod_ssl ログからのものです。
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read certificate verify A
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read certificate verify A`
[Mon Jul 30 22:00:25 2012] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read certificate verify A
[Mon Jul 30 22:00:25 2012] [info] [client 172.16.195.208] %%CryptoAuditEntry:: SSL library error 1 in handshake (server <HOSTNAME>:9005)
[Mon Jul 30 22:00:25 2012] [info] %%CryptoAuditEntry:: SSL Library Error: 336130329 error:1408F119:SSL routines:SSL3_GET_RECORD:decryption failed or bad record mac
[Mon Jul 30 22:00:25 2012] [info] [client <IPADDRESS>] %%CryptoAuditEntry:: Connection closed to child 4 with abortive shutdown (server <HOSTNAME>:9005)
これはJava側のコードです:
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null /*keyManagers*/, trustAllCerts,
new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
// Don't check the hostname against the certificate name
conn.setHostnameVerifier(new HostnameVerifier() {
public boolean verify(String urlHostname,
SSLSession session) {
return true;
}
});
conn.setDoInput(true);
conn.setDoOutput(true);
conn.setUseCaches(false);
conn.setRequestProperty("METHOD", "POST");
conn.setRequestProperty("Authorization", "Basic " +
credentials);
conn.setRequestProperty("Content-Type", "application/pkcs10");
conn.setReadTimeout(8000);
conn.connect();
もう 1 つの興味深い事実は、openssl を使用して、このコマンドを使用して問題なくサーバーに接続できることです。
openssl s_client -connect HOST:PORT
ポインタはありますか?