解决javax.net.ssl.SSLHandshakeExce

背景

今天尝试用Java去访问一个https接口，但抛出下面的异常：

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

解决过程

遇到问题首先去Google，然后在 javax.net.ssl.SSLException: Received fatal alert: protocol_version
找到了问题原因：
客户端和服务端SSL协议版本不一致。
及解决方案：
需要设置Java客户端https.protocols环境变量，使用服务端支持的SSL协议版本。

但经过我一步步踩坑，到最终解决问题，我发现问题的原因并不完全和上面描述的一直，下面我一步步讲解我的解决过程。

想了解更多https.protocols在Java中的使用，可以阅读这篇文章：https.protocols在Java中的使用

1. 安装nmap

使用nmap可以查看服务端支持是SSL协议版本，如果你的机器上未安装nmap，可以使用下面的命令安装（以CentOS为例）：

sudo yum install nmap

查看该服务支持的HTTPS协议版本：

$ nmap --script ssl-enum-ciphers -p 443 kubeboard.yidian-inc.com

Starting Nmap 6.40 ( http://nmap.org ) at 2019-12-04 18:37 CST
Nmap scan report for 10.101.211.62
Host is up (0.000094s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.0: No supported ciphers found
|   TLSv1.1: No supported ciphers found
|_  TLSv1.2: No supported ciphers found

2. 设置https.protocols

从上面的信息可以看到，该服务支持TLSv1.0、TLSv1.1、TLSv1.2，所以我将https.protocols设置成了下面的模样：

System.setProperty("https.protocols", "TLSv1.2,TLSv1.1,TLSv1.0,SSLv3");

但紧接着抛出下面的错误信息：

Caused by: java.lang.IllegalArgumentException: TLSv1.0
    at sun.security.ssl.ProtocolVersion.valueOf(ProtocolVersion.java:187)
    at sun.security.ssl.ProtocolList.convert(ProtocolList.java:84)
    at sun.security.ssl.ProtocolList.<init>(ProtocolList.java:52)

原因是：我使用的JDK 8不支持TLSv1.0，那就把TLSv1.0去掉吧。

3.输出网络日志

本来满心欢喜地期待问题被解决，但兴奋的心情很快就被下面的异常浇灭：

Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)

可以通过在启动命令中设置-Djavax.net.debug=all或在Java代码中以下面的方式启动网络调试输出：

System.setProperty("javax.net.debug", "all");

然后看到下面的输出：

main, WRITE: TLSv1.2 Handshake, length = 88
[Raw write]: length = 93
0000: 16 03 03 00 58 01 00 00   54 03 03 5D E7 98 04 87  ....X...T..]....
0010: BF 47 63 0F 9E C1 B6 BA   BF 39 05 78 28 00 54 87  .Gc......9.x(.T.
0020: 55 F5 71 B2 7B DF 8B E7   55 0A E4 00 00 02 00 35  U.q.....U......5
0030: 01 00 00 29 00 0D 00 1C   00 1A 06 03 06 01 05 03  ...)............
0040: 05 01 04 03 04 01 04 02   03 03 03 01 03 02 02 03  ................
0050: 02 01 02 02 00 17 00 00   FF 01 00 01 00           .............
[Raw read]: length = 5
0000: 15 03 03 00 02                                     .....
[Raw read]: length = 2
0000: 02 28                                              .(
main, READ: TLSv1.2 Alert, length = 2
main, RECV TLSv1.2 ALERT:  fatal, handshake_failure
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

从第1行和第14行可以看到，客户端和服务端都使用了TLSv1.2，说明并不是协议版本不一致。

3.替换JCE包

别灰心，别气馁，继续Google。最终在https://www.oschina.net/question/2282830_247657 找到了另一个解决方案：

JCE包下载地址：

• JDK6: jce_policy-6.zip
  
• JDK7: UnlimitedJCEPolicyJDK7.zip
• JDK8: jce_policy-8.zip

下载后解压，可以看到local_policy.jar和US_export_policy.jar以及readme.txt，
替换${java_home}/jre/lib/security/ 下面的local_policy.jar和US_export_policy.jar即可。

想更深入的里了解，请参考 java密钥长度受限制问题解决

But，这种方案对我还是不好使，这里把这两种解决方案记录下来，或许对其他人会有帮助。
目前还没找到我这个问题的解决方案，应该he