При устранении проблемы с моим сервлетом Tomcat я решил включить отладку сети, отредактировав /var/apache-tomcat-8.5.5/bin/setenv.sh и меняя строку export JAVA_OPTS="-Xms512m -Xmx1536m -XX:MaxPermSize=256m" к export JAVA_OPTS="-Xms512m -Xmx1536m -XX:MaxPermSize=256m -Djavax.net.debug=all". Как только я сохранил файл и перезапустил Tomcat (через catalina.sh start / stop), я обнаружил, что больше не могу подключаться к приложению Tomcat Manager (https://10.9.9.236:8443/manager/html/) через HTTPS. Chrome говорит:
«Этот сайт недоступен» (ERR_CONNECTION_CLOSED)
Я воспроизвел это поведение после полной остановки и отмены развертывания моего веб-приложения. (Сейчас установлены только приложения Tomcat Manager по умолчанию.) Итак, я знаю, что только один вариант Java вызывает сбой HTTPS.
Почему включение отладки нарушает HTTPS?
Вот возможная подсказка из файла журнала catalina.out:
https-jsse-nio-8443-exec-4, fatal error: 80: problem unwrapping net record
java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
https-jsse-nio-8443-exec-4, SEND TLSv1.2 ALERT: fatal, description = internal_error
https-jsse-nio-8443-exec-4, WRITE: TLSv1.2 Alert, length = 2
28-Sep-2016 14:01:00.576 SEVERE [https-jsse-nio-8443-exec-4] org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun
java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.ssl.Handshaker.checkThrown(Handshaker.java:1429)
at sun.security.ssl.SSLEngineImpl.checkTaskThrown(SSLEngineImpl.java:535)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:813)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:781)
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:449)
at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:227)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1387)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
Caused by: java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.util.ECUtil.getECParameters(ECUtil.java:100)
at sun.security.util.ECUtil.getECParameterSpec(ECUtil.java:149)
at sun.security.ssl.JsseJce.getECParameterSpec(JsseJce.java:385)
at sun.security.ssl.SupportedEllipticCurvesExtension.toString(SupportedEllipticCurvesExtension.java:127)
at sun.security.ssl.HelloExtensions.print(HelloExtensions.java:150)
at sun.security.ssl.HandshakeMessage$ClientHello.print(HandshakeMessage.java:323)
at sun.security.ssl.ServerHandshaker.clientHello(ServerHandshaker.java:340)
at sun.security.ssl.ServerHandshaker.processMessage(ServerHandshaker.java:221)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:979)
at sun.security.ssl.Handshaker$1.run(Handshaker.java:919)
at sun.security.ssl.Handshaker$1.run(Handshaker.java:916)
at java.security.AccessController.doPrivileged(Native Method)
at sun.security.ssl.Handshaker$DelegatedTask.run(Handshaker.java:1369)
at org.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:397)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:457)
... 7 more
Caused by: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.jca.GetInstance.getInstance(GetInstance.java:159)
at java.security.Security.getImpl(Security.java:695)
at java.security.AlgorithmParameters.getInstance(AlgorithmParameters.java:146)
at sun.security.util.ECUtil.getECParameters(ECUtil.java:98)
... 21 more
Когда я протираю журналы и возвращаюсь к JAVA_OPTS по умолчанию, исключение не возникает.
Окружающая среда:
CentOS Linux release 7.2.1511 (Core)
uname -r: 3.10.0-327.10.1.el7.x86_64
Using CATALINA_BASE: /var/apache-tomcat-8.5.5
Using CATALINA_HOME: /var/apache-tomcat-8.5.5
Using CATALINA_TMPDIR: /var/apache-tomcat-8.5.5/temp
Using JRE_HOME: /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.101-3.b13.el7_2.x86_64/jre
Using CLASSPATH: /var/apache-tomcat-8.5.5/bin/bootstrap.jar:/var/apache-tomcat-8.5.5/bin/tomcat-juli.jar
Using CATALINA_PID: /var/apache-tomcat-8.5.5/tomcat.pid
Я должен добавить, что даже когда HTTPS-доступ к сервлету нарушен, я все равно могу получить к нему доступ через HTTP, например http://10.9.9.236:8080/manager/html/.
Проблема в том, что OpenJDK 8 не поддерживает шифры с эллиптической кривой при попытке отладки SSL-соединения (например, javax.net.debug=all).
Попробуйте обновить java-1.8.0-openjdk пакеты, чтобы исправить эту ошибку.
Узнать больше: Обновление исправления ошибок java-1.8.0-openjdk