Apache HttpClient – сбои SSL

Я пытаюсь подключиться к конечной точке с помощью Apache HttpClient 4.5 и сталкиваюсь со следующим исключением:

DEBUG [main] (RequestAddCookies) - CookieSpec selected: default
DEBUG [main] (RequestAuthCache) - Auth cache not set in the context
DEBUG [main] (PoolingHttpClientConnectionManager) - Connection request: [route: {s}->https://my-rest-endpoint:443][total available: 0; route allocated: 0 of 12; total allocated: 0 of 12]
DEBUG [main] (PoolingHttpClientConnectionManager) - Connection leased: [id: 0][route: {s}->https://my-rest-endpoint:443][total available: 0; route allocated: 1 of 12; total allocated: 1 of 12]
DEBUG [main] (MainClientExec) - Opening connection {s}->https://my-rest-endpoint:443
DEBUG [main] (DefaultHttpClientConnectionOperator) - Connecting to my-rest-endpoint/<endpoint-ip-address>:443
DEBUG [main] (SSLConnectionSocketFactory) - Connecting socket to my-rest-endpoint/<endpoint-ip-address>:443 with timeout 0
DEBUG [main] (SSLConnectionSocketFactory) - Enabled protocols: [TLSv1.1, TLSv1.2, TLSv1.3]
DEBUG [main] (SSLConnectionSocketFactory) - Enabled cipher suites:[TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
DEBUG [main] (SSLConnectionSocketFactory) - Starting handshake
DEBUG [main] (DefaultManagedHttpClientConnection) - http-outgoing-0: Shutdown connection
DEBUG [main] (MainClientExec) - Connection discarded
DEBUG [main] (PoolingHttpClientConnectionManager) - Connection released: [id: 0][route: {s}->https://my-rest-endpoint:443][total available: 0; route allocated: 0 of 12; total allocated: 0 of 12]
INFO  [main] (RetryExec) - I/O exception (java.net.SocketException) caught when processing request to {s}->https://my-rest-endpoint:443: Connection reset
DEBUG [main] (RetryExec) - Connection reset
java.net.SocketException: Connection reset
    at java.base/sun.nio.ch.NioSocketImpl.implRead(NioSocketImpl.java:328)
    at java.base/sun.nio.ch.NioSocketImpl.read(NioSocketImpl.java:355)
    at java.base/sun.nio.ch.NioSocketImpl$1.read(NioSocketImpl.java:808)
    at java.base/java.net.Socket$SocketInputStream.read(Socket.java:966)
    at java.base/sun.security.ssl.SSLSocketInputRecord.read(SSLSocketInputRecord.java:484)
    at java.base/sun.security.ssl.SSLSocketInputRecord.readHeader(SSLSocketInputRecord.java:478)
    at java.base/sun.security.ssl.SSLSocketInputRecord.decode(SSLSocketInputRecord.java:160)
    at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:111)
    at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1506)
    at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1421)
    at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:455)
    at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:426)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:436)
    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:384)
    at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
    at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:376)
    at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:393)
    at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:236)
    at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:186)
    at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
    at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:110)
    at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
    at com.my.package.rest.MyRestClientImpl.executePostRequest(MyRestClientImpl.java:84)
    at com.my.package.client.MyRestClientTest.test(MyRestClientTest.java:109)
    at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:77)
    at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.base/java.lang.reflect.Method.invoke(Method.java:568)
    at org.junit.platform.commons.util.ReflectionUtils.invokeMethod(ReflectionUtils.java:728)
    at org.junit.jupiter.engine.execution.MethodInvocation.proceed(MethodInvocation.java:60)
    at org.junit.jupiter.engine.execution.InvocationInterceptorChain$ValidatingInvocation.proceed(InvocationInterceptorChain.java:131)
    at org.junit.jupiter.engine.extension.TimeoutExtension.intercept(TimeoutExtension.java:156)
    at org.junit.jupiter.engine.extension.TimeoutExtension.interceptTestableMethod(TimeoutExtension.java:147)
    at org.junit.jupiter.engine.extension.TimeoutExtension.interceptTestMethod(TimeoutExtension.java:86)
    at org.junit.jupiter.engine.execution.InterceptingExecutableInvoker$ReflectiveInterceptorCall.lambda$ofVoidMethod$0(InterceptingExecutableInvoker.java:103)
    at org.junit.jupiter.engine.execution.InterceptingExecutableInvoker.lambda$invoke$0(InterceptingExecutableInvoker.java:93)
    at org.junit.jupiter.engine.execution.InvocationInterceptorChain$InterceptedInvocation.proceed(InvocationInterceptorChain.java:106)
    at org.junit.jupiter.engine.execution.InvocationInterceptorChain.proceed(InvocationInterceptorChain.java:64)
    at org.junit.jupiter.engine.execution.InvocationInterceptorChain.chainAndInvoke(InvocationInterceptorChain.java:45)
    at org.junit.jupiter.engine.execution.InvocationInterceptorChain.invoke(InvocationInterceptorChain.java:37)
    at org.junit.jupiter.engine.execution.InterceptingExecutableInvoker.invoke(InterceptingExecutableInvoker.java:92)
    at org.junit.jupiter.engine.execution.InterceptingExecutableInvoker.invoke(InterceptingExecutableInvoker.java:86)
    at org.junit.jupiter.engine.descriptor.TestMethodTestDescriptor.lambda$invokeTestMethod$7(TestMethodTestDescriptor.java:218)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.jupiter.engine.descriptor.TestMethodTestDescriptor.invokeTestMethod(TestMethodTestDescriptor.java:214)
    at org.junit.jupiter.engine.descriptor.TestMethodTestDescriptor.execute(TestMethodTestDescriptor.java:139)
    at org.junit.jupiter.engine.descriptor.TestMethodTestDescriptor.execute(TestMethodTestDescriptor.java:69)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$6(NodeTestTask.java:151)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$8(NodeTestTask.java:141)
    at org.junit.platform.engine.support.hierarchical.Node.around(Node.java:137)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$9(NodeTestTask.java:139)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.executeRecursively(NodeTestTask.java:138)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.execute(NodeTestTask.java:95)
    at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
    at org.junit.platform.engine.support.hierarchical.SameThreadHierarchicalTestExecutorService.invokeAll(SameThreadHierarchicalTestExecutorService.java:41)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$6(NodeTestTask.java:155)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$8(NodeTestTask.java:141)
    at org.junit.platform.engine.support.hierarchical.Node.around(Node.java:137)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$9(NodeTestTask.java:139)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.executeRecursively(NodeTestTask.java:138)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.execute(NodeTestTask.java:95)
    at java.base/java.util.ArrayList.forEach(ArrayList.java:1511)
    at org.junit.platform.engine.support.hierarchical.SameThreadHierarchicalTestExecutorService.invokeAll(SameThreadHierarchicalTestExecutorService.java:41)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$6(NodeTestTask.java:155)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$8(NodeTestTask.java:141)
    at org.junit.platform.engine.support.hierarchical.Node.around(Node.java:137)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.lambda$executeRecursively$9(NodeTestTask.java:139)
    at org.junit.platform.engine.support.hierarchical.ThrowableCollector.execute(ThrowableCollector.java:73)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.executeRecursively(NodeTestTask.java:138)
    at org.junit.platform.engine.support.hierarchical.NodeTestTask.execute(NodeTestTask.java:95)
    at org.junit.platform.engine.support.hierarchical.SameThreadHierarchicalTestExecutorService.submit(SameThreadHierarchicalTestExecutorService.java:35)
    at org.junit.platform.engine.support.hierarchical.HierarchicalTestExecutor.execute(HierarchicalTestExecutor.java:57)
    at org.junit.platform.engine.support.hierarchical.HierarchicalTestEngine.execute(HierarchicalTestEngine.java:54)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.execute(EngineExecutionOrchestrator.java:198)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.execute(EngineExecutionOrchestrator.java:169)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.execute(EngineExecutionOrchestrator.java:93)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.lambda$execute$0(EngineExecutionOrchestrator.java:58)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.withInterceptedStreams(EngineExecutionOrchestrator.java:141)
    at org.junit.platform.launcher.core.EngineExecutionOrchestrator.execute(EngineExecutionOrchestrator.java:57)
    at org.junit.platform.launcher.core.DefaultLauncher.execute(DefaultLauncher.java:103)
    at org.junit.platform.launcher.core.DefaultLauncher.execute(DefaultLauncher.java:85)
    at org.junit.platform.launcher.core.DelegatingLauncher.execute(DelegatingLauncher.java:47)
    at org.junit.platform.launcher.core.SessionPerRequestLauncher.execute(SessionPerRequestLauncher.java:63)
    at com.intellij.junit5.JUnit5IdeaTestRunner.startRunnerWithArgs(JUnit5IdeaTestRunner.java:57)
    at com.intellij.rt.junit.IdeaTestRunner$Repeater$1.execute(IdeaTestRunner.java:38)
    at com.intellij.rt.execution.junit.TestsRepeater.repeat(TestsRepeater.java:11)
    at com.intellij.rt.junit.IdeaTestRunner$Repeater.startRunnerWithArgs(IdeaTestRunner.java:35)
    at com.intellij.rt.junit.JUnitStarter.prepareStreamsAndStart(JUnitStarter.java:232)
    at com.intellij.rt.junit.JUnitStarter.main(JUnitStarter.java:55)

Вот как настроен клиент:

var httpClientBuilder = HttpClientBuilder.create()
        .setMaxConnTotal(clientConfig.maxConnectionsTotal())
        .setMaxConnPerRoute(clientConfig.maxConnectionsPerRoute())
        .setConnectionTimeToLive(clientConfig.connectionLifetime(), clientConfig.connectionLifetimeUnit());

final SSLContext sslContext = SSLContexts.custom()
        .setTrustManagerFactoryAlgorithm("PKIX")
        .setKeyManagerFactoryAlgorithm("PKIX")
        .setKeyStoreType("PKCS12")
        .setProtocol("TLSv1.2")
        .loadKeyMaterial(keyStoreLocation.toFile(), keyStorePassphrase, privateKeyPassphrase)
        .loadTrustMaterial(trustStoreLocation.toFile(), trustStorePassphrase)
        .build();

httpClientBuilder.setSSLContext(sslContext);
httpClientBuilder.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE);

final CloseableHttpClient client = httpClientBuilder.build();

try {
    final HttpPost request = new HttpPost(endpoint);
    Map<String, String> customHeaders = Map.of(HttpHeaders.ACCEPT, "application/json", 
    HttpHeaders.CONTENT_TYPE, "application/json;charset=utf-8");
    customHeaders.forEach(request::addHeader);

    HttpEntity entity = new StringEntity(jsonString, ContentType.APPLICATION_JSON);
    request.setEntity(entity);

    HttpResponse response = client.execute(request, httpContextThreadLocal.get());
// Do stuff with the response...
} catch (URISyntaxException e) {
    throw new IOException("Invalid URI request", e);
}

Что меня смущает, так это то, что при использовании встроенного Java(17) HttpClient с той же конфигурацией всё работает.

// Configuration for the Java HttpClient
clientStore = KeyStore.getInstance("PKCS12");
clientStore.load(keyStoreLocation, keyStorePassword.toCharArray());
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("PKIX");
keyManagerFactory.init(clientStore, keyStorePassword.toCharArray());
KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();

trustStore = KeyStore.getInstance("PKCS12");
trustStore.load(trustStoreLocation, trustStorePassword.toCharArray());
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("PKIX");
trustManagerFactory.init(trustStore);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

SSLContext sslContext = null;
sslContext = SSLContext.getInstance("TLS");
sslContext.init(keyManagers, trustManagers, new SecureRandom());

HttpClient client = HttpClient.newBuilder().sslContext(sslContext).build();

Я уверен, что мне просто не хватает одного небольшого параметра конфигурации или чего-то подобного для клиента Apache, но я не могу понять, что именно он делает под капотом, что вызывает проблему, и я не могу обнаружить разницу между запросы, которые отправляют два клиента. Есть ли какая-то очевидная опция конфигурации, которую мне не хватает? Заранее спасибо.

Если взглянуть на трассировку стека, похоже, что SSL-сервер сбрасывает соединение после отправки приветствия клиента. Может быть, сервер будет использовать только TLS 1.3, а клиент — только TLS 1.2?

— 23.08.2024 17:24

Боюсь, если также указан TLS 1.3, по умолчанию он все равно будет 1.2.

— 23.08.2024 17:54

Я не знаю, что это значит.

— 23.08.2024 18:32

@PresidentJamesK.Polk Когда я отправляю запрос через приложение Insomnia и доступны TLSv1.1, TLSv1.2, TLSv1.3, процесс рукопожатия, кажется, останавливается на использовании 1.2, это то, что я имел в виду.

— 23.08.2024 18:51

Публикуйте полный журнал рукопожатий TLS, а также журнал контекста/проводки HttpClient.

— 23.08.2024 19:43

@quantumferret: Ты уверен? Клиент TLS 1.3 помещает информацию о версии 1.3 (0x0304) в расширение приветствия клиента, а не в обычное поле номера версии.

— 23.08.2024 19:53

@ok2c Извините, я только что добавил оставшуюся часть имеющегося у меня журнала. Ведение журнала уже настроено с помощью «org.apache.http» и «org.apache.http.wire» на уровне отладки и выполняется при обратном входе через jcl-over-slf4j. Ты это имел в виду? Или есть что-то, что я должен предоставить из другого инструмента, например. ВайрШарк?

— 23.08.2024 20:48

@PresidentJamesK.Polk Хотелось бы быть уверенным - это определенно не моя сильная сторона - но я достаточно уверен, что это с TLSv1.2; Wireshark также сообщает, что запрос отправляется через TLSv1.2.

— 23.08.2024 20:50

Сетевые вещи трудно понять удаленно. Если бы я был там, я бы проверил с помощью Wireshark два соединения: одно неудачное, а другое успешное с помощью Java HttpClient, чтобы точно найти разницу между ними. Я бы также попросил ssllabs протестировать сервер, чтобы узнать, что он поддерживает.

— 23.08.2024 20:56

en.wikipedia.org/wiki/Wireshark и ssllabs.com/ssltest

— 23.08.2024 22:28

Я не вижу журнала рукопожатий TLS: docs.oracle.com/javase/8/docs/technotes/guides/security/jsse‌/…

— 24.08.2024 10:23

@ok2c, спасибо, что указали мне на это. Мне нужно почистить логи некоторых вещей, но я постараюсь опубликовать их в ближайшее время. Единственное различие, которое я заметил между журналами SSL с Apache и журналами SSL с клиентом Java, заключается в том, что для клиента Java "server_name (0)": {type=host_name (0), value=my-rest-endpoint присутствует в разделе расширений сообщения рукопожатия ClientHello, тогда как в клиенте Apache его нет. Будет ли это иметь существенное значение?

— 25.08.2024 19:31

— 25.08.2024 19:47

java ssl https apache-httpclient-4.x

23.08.2024 17:09

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами

В компьютерном программировании биты играют важнейшую роль в представлении и манипулировании данными на двоичном уровне. Побитовые операции...

Поднятие тревоги для долго выполняющихся методов в Spring Boot

Приходилось ли вам сталкиваться с требованиями, в которых вас могли попросить поднять тревогу или выдать ошибку, когда метод Java занимает больше...

Принятие принципов SOLID в Spring Boot: Создание обслуживаемых и масштабируемых приложений

Коллекции (ArrayList , HashSet , HashMap)

Полный курс Java для разработчиков веб-сайтов и приложений

Получите сертификат Java Web и Application Developer, используя наш курс.

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Проблема действительно заключалась в том, что в сообщении приветствия клиента отсутствовало указание имени сервера. Решение, которое сработало для меня, по сути, было этим ответом с подклассом SSLConnectionSocketFactory, который переопределяет метод prepareSocket.

26.08.2024 11:47