问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

Java 8 上的 SQL Server JDBC 错误:驱动程序无法使用安全套接字层 (SSL) 加密建立与 SQL Server 的安全连接

社区维基
1
新手上路,请多包涵

使用 Microsoft JDBC Driver 版本连接到 SQL Server 数据库时出现以下错误:

com.microsoft.sqlserver.jdbc.SQLServerException:驱动程序无法使用安全套接字层 (SSL) 加密建立与 SQL Server 的安全连接。错误:“SQL Server 返回不完整的响应。连接已关闭。ClientConnectionId:98d0b6f4-f3ca-4683-939e-7c0a0fca5931”。

我们最近将应用程序从 Java 6 和 Java 7 升级到 Java 8。所有运行 Java 的系统都在运行 SUSE Linux Enterprise Server 11 (x86_64),VERSION = 11,PATCHLEVEL = 3。

以下是我使用我编写的 Java 程序收集的事实,该程序只是按顺序打开和关闭 1,000 个数据库连接。

  • 大约 5%-10% 的时间连接会因此错误而断开。错误不会发生在每个连接上。
  • 该问题仅出现在 Java 8 上。我在 Java 7 上运行了相同的程序,但该问题无法重现。这与我们升级前的生产经验一致。在生产环境中,我们在 Java 7 下运行时遇到了零问题。
  • 这个问题不会出现在我们所有运行 Java 8 的 Linux 服务器上,它只会出现在其中的一些服务器上。这让我很困惑,但是当我在不同 Linux 实例上的相同版本的 Linux JVM(1.8.0_60,64 位)上运行相同的测试程序时,在其中一个 Linux 实例上不会出现问题,但是问题确实发生在其他人身上。 Linux 实例运行相同版本的 SUSE,并且它们处于相同的补丁级别。
  • 连接到 SQL Server 2008 和 SQL Server 2014 服务器/数据库时会出现此问题。
  • 无论我使用的是 4.0 版本的 SQL Server JDBC 驱动程序还是更新的 4.1 版本的驱动程序,都会出现此问题。

与网络上的其他人相比,我对此的观察与众不同的是,尽管问题仅发生在 Java 8 上,但我无法在运行相同 Java 8 JVM 的看似相同的 Linux 服务器之一上出现问题。其他人也曾在早期版本的 Java 中看到过这个问题,但我们的经验并非如此。

感谢您提供的任何意见、建议或意见。

原文由 2Aguy 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javasql-serverlinuxssljdbc
阅读 3.7k
2 个回答
得票最新
社区维基
1
✓ 已被采纳

我在重现问题的 Linux 实例上的 Java 8 JVM 中打开了 SSL 日志记录。使用 -Djavax.net.debug=ssl:handshake:verbose 打开 SSL 日志记录。这揭示了一些有用的信息。

我们在生产中使用并已证明对我们有用的 解决方法 是在 JVM 上设置此参数:

  -Djdk.tls.client.protocols=TLSv1

如果您想了解更多详情,请继续阅读。

在可以重现问题的服务器上(同样,只有 5-10% 的时间),我观察到以下情况:

 *** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 195
main, READ: TLSv1.2 Handshake, length = 1130
*** ServerHello, TLSv1.2
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256]
** TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
*** Diffie-Hellman ServerKeyExchange
--- 8<-- SNIP -----
*** ServerHelloDone
*** ClientKeyExchange, DH
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 133
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 108, 116, 29, 115, 13, 26, 154, 198, 17, 125, 114, 166 }
***
main, WRITE: TLSv1.2 Handshake, length = 40
main, called close()
main, called closeInternal(true)
main, SEND TLSv1.2 ALERT:  warning, description = close_notify
main, WRITE: TLSv1.2 Alert, length = 26
main, called closeSocket(true)
main, waiting for close_notify or alert: state 5
main, received EOFException: ignored
main, called closeInternal(false)
main, close invoked again; state = 5
main, handling exception: java.io.IOException: SQL Server returned an incomplete response. The connection has been closed. ClientConnectionId:12a722b3-d61d-4ce4-8319-af049a0a4415

请注意,数据库服务器选择了 TLSv1.2 并在此交换中使用。我观察到,当有问题的 linux 服务连接失败时,TLSv1.2 始终是选择的级别。但是,使用 TLSv1.2 时,连接并不总是失败。他们只有 5-10% 的时间失败。

现在这是来自没有问题的服务器的交换。其他一切都是平等的。即,连接到相同的数据库、相同版本的 JVM(Java 1.8.0_60)、相同的 JDBC 驱动程序等。请注意,这里的数据库服务器选择的是 TLSv1 ,而不是故障服务器情况下的 TLSv1.2。

 *** ClientHello, TLSv1.2
--- 8<-- SNIP -----
main, WRITE: TLSv1.2 Handshake, length = 207
main, READ: TLSv1 Handshake, length = 604
*** ServerHello, TLSv1
--- 8<-- SNIP -----
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
%% Initialized:  [Session-79, TLS_RSA_WITH_AES_128_CBC_SHA]
** TLS_RSA_WITH_AES_128_CBC_SHA
--- 8<-- SNIP -----
Algorithm: [SHA1withRSA]
--- 8<-- SNIP -----
***
*** ServerHelloDone
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1
--- 8<-- SNIP -----
main, WRITE: TLSv1 Handshake, length = 134
main, WRITE: TLSv1 Change Cipher Spec, length = 1
*** Finished
verify_data:  { 26, 155, 166, 89, 229, 193, 126, 39, 103, 206, 126, 21 }
***
main, WRITE: TLSv1 Handshake, length = 48
main, READ: TLSv1 Change Cipher Spec, length = 1
main, READ: TLSv1 Handshake, length = 48
*** Finished

因此,当 Linux JVM 和 SQL Server 之间协商 TLSv1 时,连接总是成功的。协商 TLSv1.2 时,我们会遇到零星的连接失败。

(注意:Java 7 (1.7.0_51) 总是协商 TLSv1,这就是为什么我们在使用 Java 7 JVM 时从未出现过问题。)

我们仍有待解决的问题是:

  1. 为什么从 2 个不同的 Linux 服务器运行的同一个 Java 8 JVM 总是协商 TLSv1,但是当从另一个 Linux 服务器连接时,它总是协商 TLSv1.2。
  2. 还有为什么 TLSv1.2 协商连接在该服务器上大部分时间(但不是全部时间)都成功?

2017 年 6 月 10 日 更新: Microsoft 发布的此帖子 描述了该问题及其建议的解决方案。

资源:

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://www.infoworld.com/article/2849292/operating-systems/more-patch-problems-reported-with-the-ms14-066-kb-2992611-winshock-mess.html

http://blogs.msdn.com/b/jdbcteam/archive/2008/09/09/the-driver-could-not-establish-a-secure-connection-to-sql-server-by-using-secure- sockets-layer-ssl-encryption.aspx

Java 8、JCE 无限强度策略和基于 TLS 的 SSL 握手

http://blogs.msdn.com/b/saponsqlserver/archive/2013/05/10/analyzing-jdbc-connection-issues.aspx

https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#descPhase2

https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls

原文由 2Aguy 发布,翻译遵循 CC BY-SA 3.0 许可协议

社区维基
1

您的 url 应该如下所示并添加 sql sqljdbc42.jar。这将解决您的问题

url = "jdbc:sqlserver://" +serverName + ":1433;DatabaseName=" + dbName + ";encrypt=true;trustServerCertificate=true;

原文由 Sunil Kumar 发布,翻译遵循 CC BY-SA 4.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题