sql >> Databasteknik >  >> RDS >> Sqlserver

SQL Server JDBC-fel på Java 8:Drivrutinen kunde inte upprätta en säker anslutning till SQL Server genom att använda Secure Sockets Layer (SSL) kryptering

Jag slog på SSL-loggning i Java 8 JVM på en Linux-instans som återskapar problemet. SSL-loggning aktiveras med -Djavax.net.debug=ssl:handshake:verbose . Detta avslöjade en del användbar information.

lösningen som vi använder i produktionen och har visat sig fungera för oss är att ställa in denna parameter på JVM:

 -Djdk.tls.client.protocols=TLSv1

Om du vill ha mer information, läs vidare.

På en server där problemet kan reproduceras (återigen, bara 5-10% av tiden), observerade jag följande:

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 195
main, READ: TLSv1.2 Handshake, length = 1130
*** ServerHello, TLSv1.2
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256]
** TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
*** Diffie-Hellman ServerKeyExchange
--- 8<-- SNIP -----
*** ServerHelloDone
*** ClientKeyExchange, DH
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 133
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 108, 116, 29, 115, 13, 26, 154, 198, 17, 125, 114, 166 }
***
main, WRITE: TLSv1.2 Handshake, length = 40
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT:  warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
main, waiting for close_notify or alert: state 5
main, received EOFException: ignored
main, called closeInternal(false)
main, close invoked again; state = 5
main, handling exception: java.io.IOException: SQL Server returned an incomplete response. The connection has been closed. ClientConnectionId:12a722b3-d61d-4ce4-8319-af049a0a4415

Lägg märke till att TLSv1.2 väljs av databasservern och används i detta utbyte. Jag har observerat att, när anslutningar misslyckas från den problematiska Linux-tjänsten, är TLSv1.2 ALLTID den nivå som valdes. Anslutningar misslyckas dock inte ALLTID när TLSv1.2 används. De misslyckas bara 5-10 % av tiden.

Nu är här ett utbyte från en server som INTE har problemet. Allt annat är lika. Dvs ansluter till samma databas, samma version av JVM (Java 1.8.0_60), samma JDBC-drivrutin, etc. Observera att här TLSv1 väljs av databasservern istället för TLSv1.2 som i den felaktiga serverns fall.

*** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 207
main, READ: TLSv1 Handshake, length = 604
*** ServerHello, TLSv1
--- 8<-- SNIP -----
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_RSA_WITH_AES_128_CBC_SHA]
** TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
***
*** ServerHelloDone
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1
--- 8<-- SNIP -----
main, WRITE: TLSv1 Handshake, length = 134
main, WRITE: TLSv1 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 26, 155, 166, 89, 229, 193, 126, 39, 103, 206, 126, 21 }
***
main, WRITE: TLSv1 Handshake, length = 48
main, READ: TLSv1 Change Cipher Spec, length = 1
main, READ: TLSv1 Handshake, length = 48
*** Finished

Så när TLSv1 förhandlas mellan Linux JVM och SQL Server är anslutningarna ALLTID framgångsrika. När TLSv1.2 förhandlas får vi sporadiska anslutningsfel.

(Obs:Java 7 (1.7.0_51) förhandlar alltid TLSv1, vilket är anledningen till att problemet aldrig uppstod för oss med en Java 7 JVM.)

De öppna frågorna vi fortfarande har är:

  1. VARFÖR kommer samma Java 8 JVM som körs från 2 olika Linux-servrar alltid att förhandla TLSv1, men när den ansluter från en annan Linux-server förhandlar den alltid TLSv1.2.
  2. Och även varför lyckas TLSv1.2-förhandlade anslutningar mest, men inte hela tiden på den servern?

Uppdatering 6/10/2017: Det här inlägget från Microsoft beskriver problemet och deras föreslagna lösning.

Resurser:

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://blogs.msdn.com/b/jdbcteam/archive/2008/09/09/the-driver-could-not-establish-a-secure-connection-to-sql-server-by-using-secure- sockets-layer-ssl-encryption.aspx

Java 8 , JCE Unlimited Strength Policy och SSL Handshake over TLS

http://blogs.msdn.com/b/saponsqlserver/archive/2013/05/10/analyzing-jdbc-connection-issues.aspx

https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#descPhase2

https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls



  1. SQL Filtrera kriterier i joinkriterier eller where-sats som är mer effektivt

  2. Oracle:Konvertera valutabelopp i ord med PL/SQL

  3. Skapa och få åtkomst till OLTP-databaser och tabeller i minnet

  4. MySQL-inlärningsväg