Débogage d'un échec de prise de contact SSL côté client
Lorsqu'un client tente d'établir une connexion SSL avec un serveur, le processus de prise de contact peut échouer pour diverses raisons. Pour résoudre la cause d'un échec de négociation, il est essentiel d'examiner la sortie de débogage de la bibliothèque SSL/TLS sous-jacente.
Activation du débogage SSL/TLS
Pour activer Débogage SSL/TLS, définissez la propriété système Java "-Djavax.net.debug=all". Cela générera des journaux détaillés pendant le processus de prise de contact.
Examen de la sortie de débogage
La sortie de débogage fournit des informations sur le processus de prise de contact, notamment :
- Keystores : informations sur le keystore et les truststores utilisés pour le certificat validation.
-
ClientHello : Détails sur les suites de chiffrement et les méthodes de compression proposées par le client.
-
ServerHello : Réponse du serveur, indiquant le suite de chiffrement et chaîne de certificats sélectionnés.
-
Chaîne de certificats : Le certificat du serveur chaîne pour vérifier l'identité du serveur.
-
Vérification du certificat : Le résultat de la validation du certificat du serveur par rapport au magasin de confiance du client.
Causes possibles de Échec de la poignée de main :
-
Chiffre incompatible Suites : Le client et le serveur peuvent ne pas avoir de suites de chiffrement prises en charge en commun.
-
Incompatibilité de version : Le client et le serveur peuvent utiliser des protocoles SSL/TLS incompatibles.
-
Certificat non fiable : Le certificat du serveur peut ne pas être approuvé par la confiance du client store.
-
Émission de certificat incorrecte :Le certificat du serveur peut ne pas être émis pour le domaine correct.
Étapes de dépannage :
-
Inspectez les magasins de clés : Assurez-vous que le bon le keystore et le truststore sont utilisés. Importez tous les certificats nécessaires dans le truststore.
-
Vérifiez la compatibilité des suites de chiffrement : Vérifiez que les suites de chiffrement prises en charge par le client et le serveur sont compatibles. Ajustez-les si nécessaire dans les fichiers de configuration.
-
Assurez-vous de la compatibilité des versions SSL/TLS :Le client et le serveur doivent prendre en charge la même version du protocole SSL/TLS. Mettez à jour les paramètres appropriés si nécessaire.
-
Vérifiez la confiance du certificat : Importez les certificats nécessaires dans le magasin de confiance pour vous assurer que le certificat du serveur est fiable.
-
Vérifiez Émission du certificat : Assurez-vous que le certificat du serveur est émis pour le domaine ou l'adresse IP corrects. Contactez l'administrateur du serveur si une anomalie est détectée.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!