Coldfusion CFHTTP handshake_failure

Question

Coldfusion CFHTTP handshake_failure

Я пытаюсь отправить запрос SOAP по CFHTTP с сертификатом клиента. Мои тестовые запросы в SOAP UI успешны, но когда я пытаюсь отправить запросы через CFHTTP, я получаю следующую ошибку:

I/O Exception: Received fatal alert: handshake_failure

Мой тег CFHTTP выглядит так:

<cfhttp
    url="https://..."
    method="post"
    clientcert="C:\..."
    clientcertpassword="password"
    result="httpResponse"
    >

Я попытался проверить журналы для большего количества идей относительно того, где сбой мог произойти. Я могу получить только следующее:

http.log

"Information","ajp-bio-8014-exec-10","09/26/16","07:07:59",,"Starting HTTP request {URL='https://...', method='post'}"

ColdFusion-out.log

Sep 26, 2016 07:07:59 AM Information [ajp-bio-8014-exec-10] - Starting HTTP request {URL='https://...', method='post'}

Я импортировал сертификаты с помощью keytool, и когда я перечисляю сертификаты в cacerts, я вижу их там.

Любые другие идеи, где я могу искать, чтобы устранить эту проблему?

Отредактировано, чтобы добавить:

Мой сертификат в формате.p12 и имеет пароль. Я протестировал файл.p12 с паролем в SOAP UI, и он работает.

Я установил CF10-Certman и подтвердил, что сертификаты есть и у CF Administrator.

Я добавил эти строки в мой jvm.config:

-Djavax.net.ssl.keyStore=C:\\ColdFusion11\\jre\\lib\\security\\cacerts 
-Djavax.net.ssl.keyStorePassword=password 
-Djavax.net.ssl=debug
-Djavax.net.debug=all

Я пробовал путь к хранилищу ключей с помощью \ и / ("C:/Coldfusion11/...")

Дополнительный вывод coldfusion-out.log:

Sep 26, 2016 11:10:06 AM Information [ajp-bio-8014-exec-2] - Starting HTTP request {URL='https://...', method='post'}
...
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
...
Allow unsafe renegotiation: true
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1
RandomCookie:  GMT: 1458128991 bytes = { 40, ... }
Session ID:  {}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
Extension server_name, server_name: [host_name: url ]
***
ajp-bio-8014-exec-2, WRITE: TLSv1 Handshake, length = 195
ajp-bio-8014-exec-2, READ: TLSv1.1 Alert, length = 2
ajp-bio-8014-exec-2, RECV TLSv1 ALERT:  fatal, handshake_failure
ajp-bio-8014-exec-2, called closeSocket()
ajp-bio-8014-exec-2, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
Finalizer, called close()
Finalizer, called closeInternal(true)

CipherSuite в SOAPUI - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ОБНОВИТЬ

Я удалил clientcert и clientcertpassword из тега cfhttp, и теперь я вижу это в coldfusion-out.log:

ajp-bio-8014-exec-1, WRITE: TLSv1.1 Handshake, length = 64
ajp-bio-8014-exec-1, setSoTimeout(360000) called
ajp-bio-8014-exec-1, WRITE: TLSv1.1 Application Data, length = 1680
ajp-bio-8014-exec-1, READ: TLSv1.1 Alert, length = 48
ajp-bio-8014-exec-1, RECV TLSv1.1 ALERT:  warning, close_notify
ajp-bio-8014-exec-1, called closeInternal(false)
ajp-bio-8014-exec-1, SEND TLSv1.1 ALERT:  warning, description = close_notify
ajp-bio-8014-exec-1, WRITE: TLSv1.1 Alert, length = 48
ajp-bio-8014-exec-1, called closeSocket(false)
ajp-bio-8014-exec-1, called close()
ajp-bio-8014-exec-1, called closeInternal(true)

Я обратился к администратору сервера, чтобы узнать, видят ли они запрос с их стороны.

ОБНОВИТЬ

Добавление clientcert обратно в исправлено!

4

soap coldfusion certificate cfhttp

Источник

user1728977 26 сен '16 в 12:11

1 ответ

Решение

Другие вопросы по тегам soap coldfusion certificate cfhttp

user1728977 28 сен '16 в 12:50 2016-09-28 12:50 · Accepted Answer · 2016-09-28 12:50

Я не уверен, что именно решило эту проблему в целом, но если вы просматриваете мой оригинальный пост, включая обновления, мне кажется, что это помогло:

1) Не включая clientcert, заставил ColdFusion проверять серверы для сертификатов сервера

2) Повторное добавление clientcert заставило ColdFusion завершить рукопожатие

Настройки JVM.config также помогли в отладке и обеспечении использования правильного протокола.