Ошибка SSL-связи в Tomcat 10 в режиме FIPS ⇐ JAVA

[Anonymous]

tomcat версии 10.1.19
Конфигурация соединителя

Код: Выделить всё

port = 8443
protocol="org.apache.coyote.http11.Http11NioProtocol"
defaultSSLHostConfigName="defaultConfig"

Признак: Curl ожидает около 20 секунд после шага
"TLSv1.2 (IN), подтверждение TLS, обмен ключами сервера (12):"

Код: Выделить всё

--tls-max 1.2Аргумент 

был передан в Curl

Код: Выделить всё

*   Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to localhost (127.0.0.1) port 8443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/infaca/ca-bundle.pem
CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS handshake, CERT verify (15):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to localhost:8443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to localhost:8443

Показывает журнал доступа Tomcat

Код: Выделить всё

10.29.5.112 - - 2024-10-02 00:05:31.204 null -1 "-" 400 - 0 - 10.29.5.22 - "-" "-" null

где код ответа – 400, протокол – ноль, порт – 1, строка запроса http – "-", размер ответа HTTP – "-", а затраченное время – 0. , последнее нулевое значение – это имя рабочего потока tomcat.
В SSLHostConfig пробовал ограничить шифры протоколом, совместимым с fips, и ограничить протокол tls 1.2, но не имело никакого значения

Код: Выделить всё

Пытался включить отладку Java SSL с помощью -Djavax.net.debug=ssl, но он не выводит много информации.
Пытался настроить org.apache.catalina.level = FINE в свойствах ведения журнала tomcat, но не получил полезной информации в журналах Catalina
путь к классу содержит /opt/java/zulu17.50.20- sa-jdk17.0.11-linux_x64-fips-bc/fips_libs
и командная строка включает -Dorg.bouncycastle.fips.approved_only=true
Обновление:
тайм-аут 20 секунд соответствует значению ConnectionTimeout, установленному в коннекторе https.
gnutls-util показывает, что SSL-квитирование завершено

Код: Выделить всё

[2024-10-04 00:01:45] - Description: (TLS1.3-X.509)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
[2024-10-04 00:01:45] - Options:
[2024-10-04 00:01:45] - Handshake was completed

Обновление 2:
gnutls-cli работает после предоставления строки HTTP-запроса через стандартный ввод.
Пытался использовать эквивалентный шифр с завитком, но закручивание по-прежнему завершается неудачно через 20 секунд
р>

Код: Выделить всё

curl -vk https://localhost:12345/XXX/mgmtapi/version --ciphers 'ECDHE-RSA-AES256-GCM-SHA384'

Подробнее здесь: https://stackoverflow.com/questions/790 ... -fips-mode