支持多种TLS协议的HttpClient

我们正在编写一个必须使用 HTTPS 与一些服务器通信的应用程序。 它需要与 AWS（使用 AWS 库）以及我们使用 TLS 1.2 的一些内部服务进行通信。

我首先将 HttpClient 更改为使用 TLS 1.2 SSLContext：

public static SchemeRegistry buildSchemeRegistry() throws Exception {
    final SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
    sslContext.init(createKeyManager(), createTrustManager(), new SecureRandom());
    final SchemeRegistry schemeRegistry = new SchemeRegistry();
    schemeRegistry.register(new Scheme("https", 443, new SSLSocketFactory(sslContext)));
    return schemeRegistry;
}

并将这个SchemeRegistry注入到DefaultHttpClient对象中（通过spring），但是这样做我从AWS收到错误，所以我假设（我可能是错的）AWS不支持TLS 1.2（如果我只是使用普通的 DefaultHttpClient）：

AmazonServiceException: Status Code: 403, AWS Service: AmazonSimpleDB, AWS Request ID: 5d91d65f-7158-91b6-431d-56e1c76a844c, AWS Error Code: InvalidClientTokenId, AWS Error Message: The AWS Access Key Id you provided does not exist in our records.

如果我尝试在 spring 中定义两个 HttpClient，一个使用 TLS 1.2，另一个是默认的，我会收到以下错误，我认为这意味着 Spring 不喜欢实例化和自动装配两个 HttpClient 对象：

SEVERE: Servlet /my-refsvc threw load() exception
java.lang.NullPointerException
at com.company.project.refsvc.base.HttpsClientFactory.<clinit>(BentoHttpsClientFactory.java:25)
...
org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateUsingFactoryMethod(AbstractAutowireCapableBeanFactory.java:1031)
at 
...
org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:223)

我在java中很少使用HTTPS，所以请好心人给我一些建议吗？ 1）我如何让Spring允许两个HttpClient对象，一个连接到AWS stuff beans，另一个连接到其他bean以访问TLS1.2服务 2）或者是否可以更改一个 HttpClient 对象以能够尝试 TLS1.2（通过 SSLContext、SchemeRegistry 或其他方式），如果失败则尝试 TLS1.1 或 1.0？ 3）如果两者都可能，那么“更好”的做法是什么？

TLS 有一个内置机制来协商使用哪个版本的协议。从RFC 5246（附录 E） https://www.rfc-editor.org/rfc/rfc5246#appendix-E:

TLS 版本 1.0、1.1 和 1.2 以及 SSL 3.0 非常相似，并且 使用兼容的 ClientHello 消息；因此，支持他们所有人 相对容易。同样，服务器可以轻松处理客户端 只要 ClientHello 就尝试使用未来版本的 TLS 格式保持兼容，客户端支持最高 服务器中可用的协议版本。

希望与此类旧服务器协商的 TLS 1.2 客户端 将发送一个正常的 TLS 1.2 ClientHello，包含 { 3, 3 } (TLS 1.2) 在ClientHello.client_version中。如果服务器不支持此版本，它将使用包含以下内容的 ServerHello 进行响应 旧版本号。如果客户同意使用此版本， 谈判将根据谈判内容酌情进行 协议。

另外，更改版本号SSLContext.getInstance(...)仅更改启用的协议默认情况下。设置实际协议版本是通过SSLSocket.setEnabledProtocols(...) http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/SSLSocket.html#setEnabledProtocols%28java.lang.String%5B%5D%29 (see 这个问题 https://stackoverflow.com/a/11505994/372643）。我不确定您正在使用的其余库，但它可能在某处设置了启用的协议。

有以下几种可能性：

• 你在做什么createKeyManager()与默认行为不同。如果服务使用客户端证书身份验证，则错误的配置肯定会导致 403 错误。

• （我猜可能性较小，但在没有看到你的情况下很难说createKeyManager() and createTrustManager()）。也许您使用的服务器与 TLS 1.2 和版本协商机制不兼容。里面有这样的评论sun.security.ssl.SSLContextImpl:

  SSL/TLS 协议指定向前兼容性和版本 回滚攻击保护，但是，许多 SSL/TLS 服务器 供应商没有正确实施这些方面，并且当前的一些 SSL/TLS 服务器可能拒绝与 TLS 1.1 或更高版本的客户端通信。