SSLHandshakeException 导致连接失败
编辑SSLHandshakeException 导致连接失败
编辑症状
SSLHandshakeException导致与节点的连接失败,这表明存在配置问题。下面列出了一些常见的异常以及如何解决这些问题的提示。
解决方案
-
java.security.cert.CertificateException: 未找到与 node01.example.com 匹配的名称 -
这表明客户端连接到了
node01.example.com,但是返回的证书不包含名称node01.example.com。在大多数情况下,可以通过确保在证书创建过程中指定此名称来解决此问题。有关更多信息,请参见 使用 TLS 加密节点间通信。另一种情况是环境根本不想在证书中使用 DNS 名称。在这种情况下,elasticsearch.yml中的所有设置都应仅使用 IP 地址,包括network.publish_host设置。 -
java.security.cert.CertificateException: 没有主题替代名称 -
这表明客户端连接到了一个 IP 地址,但是返回的证书不包含任何
SubjectAlternativeName条目。只有在证书创建过程中将 IP 地址指定为SubjectAlternativeName时,才会使用 IP 地址进行主机名验证。如果目的是使用 IP 地址进行主机名验证,则需要使用相应的 IP 地址重新生成证书。请参见 使用 TLS 加密节点间通信。 -
javax.net.ssl.SSLHandshakeException: null cert chain和javax.net.ssl.SSLException: Received fatal alert: bad_certificate -
SSLHandshakeException指示客户端返回了一个自签名证书,由于它在truststore或keystore中找不到,因此不受信任。此SSLException出现在连接的客户端侧。 -
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target和javax.net.ssl.SSLException: Received fatal alert: certificate_unknown -
此
SunCertPathBuilderException指示在握手过程中返回了一个不受信任的证书。此消息出现在连接的客户端侧。SSLException出现在连接的服务器端。签名返回证书的 CA 证书未在keystore或truststore中找到,需要将其添加以信任此证书。 -
javax.net.ssl.SSLHandshakeException: Invalid ECDH ServerKeyExchange signature -
Invalid ECDH ServerKeyExchange signature可能表示密钥和相应的证书不匹配,导致握手失败。验证您用于配置的证书颁发机构、证书和密钥的每个文件的内容。特别是,检查密钥和证书是否属于同一密钥对。