0

TLSv1.2 と暗号 {ecdhe_ecdsa,aes_256_cbc,sha384} のみをサポートする RabbitMQ サーバー (Erlang OTP 18.1 を使用した RabbitMQ バージョン 3.6.0) があります。AMQP を使用して Java クライアントから接続しようとしています。ソースコードは次のようになります。

final SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null);
SSLContext.setDefault(context);
final String[] enabledCipherSuites = { "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384" };
final SSLParameters defaultParams = context.getDefaultSSLParameters();
defaultParams.setCipherSuites(enabledCipherSuites);
final SSLParameters supportedParams = context.getSupportedSSLParameters();
supportedParams.setCipherSuites(enabledCipherSuites);

ConnectionFactory factory = new ConnectionFactory();
factory.useSslProtocol(context);
factory.setHost(RABBITMQ_ADMIN_HOST);
factory.setPort(RABBITMQ_CLIENT_PORT_SSL);
factory.setUsername(RABBITMQ_ADMIN_USER);
factory.setPassword(RABBITMQ_ADMIN_PWD);
return factory.newConnection();

以下は、RabbitMQ 構成ファイルのスニペットです。

{ssl_options, [{cacertfile, "cacert.pem"},
    {certfile, "cert.pem"},
    {keyfile, "key.pem"},
    {verify, verify_peer},
    {versions, ['tlsv1.2']},
    {ciphers, [{ecdhe_ecdsa,aes_256_cbc,sha384}]},
    {fail_if_no_peer_cert, true}]}

問題は、クライアントがサーバーに接続しようとすると、サーバーが次のエラーで接続を拒否することです。

=ERROR REPORT==== 4-Aug-2016::23:15:24 ===
SSL: hello: tls_handshake.erl:167:Fatal error: insufficient security

クライアント側では、次のような Java 例外がスローされていることがわかります。

Received fatal alert: insufficient_security
Thread-1 sun.security.ssl.Alerts.getSSLException(Alerts.java:192),
sun.security.ssl.Alerts.getSSLException(Alerts.java:154),
sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1991),
sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1098),
sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1344),
sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:721),
sun.security.ssl.AppOutputStream.write(AppOutputStream.java:122),
java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:82),
java.io.BufferedOutputStream.flush(BufferedOutputStream.java:140),
java.io.DataOutputStream.flush(DataOutputStream.java:123),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:129),
com.rabbitmq.client.impl.SocketFrameHandler.sendHeader(SocketFrameHandler.java:134),
com.rabbitmq.client.impl.AMQConnection.start(AMQConnection.java:277),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:678),
com.rabbitmq.client.ConnectionFactory.newConnection(ConnectionFactory.java:722)

ここで面白いのは、変更された暗号スイートをデフォルトおよびサポートされている ssl パラメータに設定しているにもかかわらず、サポートされているデフォルトの暗号スイートをログに記録すると、許可されるべきではない他のすべてのものも表示されることです!! 次の追加の Java コマンド ライン パラメータを使用してクライアントを起動します。

-Dhttps.protocols=TLSv1.2 
-Dhttps.cipherSuites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 
-Ddeployment.security.TLSv1.2=true 
-Ddeployment.security.TLSv1.1=false 
-Ddeployment.security.SSLv3=false

さらに、クライアントの起動中に、有効化されたデフォルトの暗号スイートをログに記録しました。私が指定した暗号スイートだけでなく、多数の暗号スイートが表示されます。

この問題を解決する方法を誰かが教えてくれますか? これをデバッグするのに役立つポインターは非常に役立ちます。

4

1 に答える 1

0

この問題は、Centos の ECDHE に関連している可能性があります。次の投稿を参照してください: https://www.internetstaff.com/enable-elliptical-curve-diffie-hellman-ecdhe-linux/

問題は、Diffie-Hellman アルゴリズムが非常に遅いことです。これは、楕円曲線 Diffie-Hellman (ECDHE) を使用することで大幅に相殺できます。Red Hat / CentOS / Fedora / Amazon Linux ユーザーの問題は、Red Hat が ECDHE 暗号を意図的に無効にしているということです。

これを読むことをお勧めします: http://erlang.org/pipermail/erlang-questions/2013-December/076322.html

また、この(私の)スレッド:http://erlang.org/pipermail/erlang-questions/2016-July/089797.html

ECDHE暗号クライアント側の使用を回避する同様の問題を解決しました。

于 2016-08-05T20:55:35.747 に答える