Как решить проблему RECV SSLv3 ALERT: фатально, bad_record_mac
В последние несколько дней я пытался установить работающий сервер CAS (Jasig CAS) на Ubuntu 10.10. Я установил Tomcat 6 и настроил (server.xml) его для порта SSL 8443:
<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->
<Connector port="8443"
maxHttpHeaderSize="8192"
maxThreads="150"
minSpareThreads="25"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
clientAuth="false"
SSLEnabled="true"
SSLProtocol="SSLv3"
SSLCertificateFile="/etc/ssl/certs/server_cert.pem"
SSLCertificateKeyFile="/etc/ssl/private/server_key.pem"
SSLCACertificateFile="/etc/ssl/certs/ca_cert.pem"
SSLCACertificatePath="/etc/ssl/certs"
SSLPassword="password"
/>
server_cert.pem, server_key.pem являются самозаверяющими сертификатами x509. Кроме того, я создал сертификат x509v3 для тестового сервера Windows (apache2 - xampp) (оба сервера находятся в одной локальной сети и имеют IP-адреса 10.0.0.*) . Эти сертификаты установлены в хранилище ключей Java (Cacerts), которое находится в каталоге Java. Так как у меня всегда были проблемы с "альтернативным именем субъекта" в сертификате клиента, я использовал расширенную версию файла конфигурации openssl для его создания.
Конфигурационный файл apache2 ssl выглядит следующим образом:
<IfModule ssl_module>
....
<VirtualHost 10.0.0.2:443>
SSLEngine on
ServerName 10.0.0.2:443
#ServerAlias 10.0.0.2
DocumentRoot c:/xampp/htdocs
SSLProtocol -all +SSLv3
SSLCertificateFile C:/xampp/ssl/certs/powercomputer_cert.pem
SSLCertificateKeyFile C:/xampp/ssl/private/powercomputer_key.pem
SSLCACertificateFile C:/xampp/ssl/certs/ca_cert.pem
</VirtualHost>
...
</IfModule>
SSL-соединения работают на обоих серверах (протестировано с использованием IE и Firefox).
Теперь наступает трудная задача. Я использовал модуль phpCAS, запрограммированный в php, на машине с Windows для связи с сервером CAS. Модуль отправляет URL-адрес обратного вызова на сервер CAS, а сервер отправляет билет прокси-сервера и т. Д. И т. Д.
НО я не смог обеспечить корректное рукопожатие SSL между обоими серверами. openssl -s_client -connect... для обоих серверов он не показал никаких ошибок, поэтому я отладил полное рукопожатие SSL (здесь только соответствующая часть):
...
* ServerHelloDone
* ClientKeyExchange, RSA PreMasterSecret, SSLv3 http-apr-8443-exec-3, ЗАПИСЬ: SSLv3 Handshake, длина = 132 СЕССИЯ
KEYGEN: PreMaster Secret: 0000: 03 00 78 96 8F EE D3 4A 2F A8 CC F8 F9 D7 2F CB..x.... J /...../. 0010: 9E 3A 58 66 43 0E D5 49 3C 8A B0 3D 3F 2C 89 A0.: XfC..I <.. =?,.. 0020: BC E2 B2 12 F8 D9 55 73 F2 2C 1F CC 81 80 94 22...... Us.,..... "КЛЮЧ ПОДКЛЮЧЕНИЯ: Клиент Nonce: 0000: 4E D1 94 ED 32 7F FA 72 40 3C 43 C8 05 E2 62 D0 N... 2..r @ 91 E2 D0 1C 90 3D 30 DD..n; W6....... = 0. Главный секрет: 0000: EB 25 F0 A2 A3 FF 37 06 BB 79 41 C5 E5 07 1C 64.%.... 7..yA.... d 0010: 77 66 A3 37 71 97 63 AF DB A2 79 47 85 E2 9C 74 wf.7q.c... yG... t 0020: 5F 14 3D 26 57 E8 AD 9B A1 7C AC 33 00 04 4A E0 _. = & W...... 3..J. Секретный MAC-адрес записи клиента: 0000: C9 20 BF A5 A6 2B C1 DA A8 4E 93 E0 DE 76 06 53.... +...N... vS Server MAC Секрет записи: 0000: 66 77 5A 3E BD E7 19 55 A4 80 1E E6 8A 9E 2A 5E fwZ>... U...... * ^ Ключ записи клиента: 0000: 58 D1 29 38 13 D8 83 EF 4F BD 7A 18 C8 35 D7 B4 X.)8....Oz.5.. Ключ записи сервера: 0000: 3A 7B 6A 6E 66 E9 E1 42 A4 3C C3 19 D0 7F 21 FF:.jnf..B. <....!.... для этого шифра не используется IV
http-apr-8443-exec-3, WRITE: SSLv3 Изменить спецификацию шифра, длина = 1
* Законченные verify_data: {71, 19, 125, 80, 118, 60, 64, 122, 243, 112, 45, 18, 254, 144, 12, 143, 221, 125, 10, 94, 15, 221, 122, 21, 90, 190, 76, 224, 224, 57, 67, 172, 228, 75, 181, 228}
* http-apr-8443-exec-3, ЗАПИСЬ: рукопожатие SSLv3, длина = 56 http-apr-8443-exec-3, ЧТЕНИЕ: оповещение SSLv3, длина = 2
http-apr-8443-exec-3, RECV SSLv3 ALERT: фатально, bad_record_mac
http-apr-8443-exec-3, называемый closeSocket() http-apr-8443-exec-3,
обработка исключения: javax.net.ssl.SSLException: получено фатальное предупреждение:
bad_record_mac 2011-11-27 02: 39: 57,315 ОШИБКА
[org.jasig.cas.util.HttpClient] -
bad_record_mac> javax.net.ssl.SSLException: получено фатальное предупреждение:
bad_record_mac в sun.security.ssl.Alerts.getSSLException(Alerts.java:208) в sun.security.ssl.Alerts.getSSLException(Alerts.java:154) в....
Я не нашел никакого решения в последние несколько дней, и я действительно не имею ни малейшего понятия, в чем проблема. Кстати, я вынужден использовать SSLv3.
Большое спасибо за любые предложения.