搞定 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 问题！

最新推荐文章于 2025-09-26 16:21:12 发布

原创最新推荐文章于 2025-09-26 16:21:12 发布 · 6.5k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#java #handshake

java 专栏收录该内容

17 篇文章

订阅专栏

本文总结了处理javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure异常的三种方法：检查协议版本是否一致，解决JCE包的安全性限制，以及重新导入CA证书到JDK。通过分析握手失败的原因，提供了针对性的解决方案。

部署运行你感兴趣的模型镜像

开始碰到这个问题找遍了各种方法，其实还是需要耐心的先搞清楚原因再想方法靠谱，这里也总结下这个异常的多种解决方案，

首先先理解下为什么出现handshake？字面理解是客户端与服务端握手失败，能导致握手失败的原因是什么？

一.协议版本不同

首先是两边版本协议不一致，例如客户端可能是jdk7 /jdk8 它们支持的协议参考这里https://emacsist.github.io/2017/03/02/https.protocols%E5%9C%A8java%E4%B8%AD%E7%9A%84%E4%BD%BF%E7%94%A8/

可以在运行时加上 -Djavax.net.debug=all 参数能够看到服务器与客户端之间的协议，如下图：

main, WRITE: TLSv1.2 Handshake, length = 88
[Raw write]: length = 93
0000: 16 03 03 00 58 01 00 00   54 03 03 5D E7 98 04 87  ....X...T..]....
0010: BF 47 63 0F 9E C1 B6 BA   BF 39 05 78 28 00 54 87  .Gc......9.x(.T.
0020: 55 F5 71 B2 7B DF 8B E7   55 0A E4 00 00 02 00 35  U.q.....U......5
0030: 01 00 00 29 00 0D 00 1C   00 1A 06 03 06 01 05 03  ...)............
0040: 05 01 04 03 04 01 04 02   03 03 03 01 03 02 02 03  ................
0050: 02 01 02 02 00 17 00 00   FF 01 00 01 00           .............
[Raw read]: length = 5
0000: 15 03 03 00 02                                     .....
[Raw read]: length = 2
0000: 02 28                                              .(
main, READ: TLSv1.2 Alert, length = 2
main, RECV TLSv1.2 ALERT:  fatal, handshake_failure
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: hands

可以看到第一行客户端 main, WRITE: TLSv1.2 与倒数第三行服务端 main, RECV TLSv1.2 ALERT: fatal, handshake_failure

两边的协议是一致的都是TLSv1.2 这个原因可以排除了，当不一致的时候可以启动时加上下面这个参数，去指定jdk使用的TLS协议版本与服务器端保持一致，不过一般从jdk7升到jdk8可能就没这个问题了。

-Dhttps.protocols=SSLv3,TLSv1

二.JCE包引起的

这个是jdk导致的，jdk里面有一个jce的包，安全性机制导致的访问https会报错，可能是客户端证书密钥长度超出限制引起的握手失败，官网上有替代的jar包，换掉或者修改java.security文件就好了。参考这个进行改动，注意自己jdk的版本。

https://blog.51cto.com/zpf666/2341494?source=dra

三.ca证书重新导入jdk

这里在补充下ca证书导入jdk中，用于https访问，笔者就是因为这个证书的问题，我看了没加之前证书是一样的，无奈重新导入一遍就可以了。

先把证书放到这个位置

${JAVA_HOME}/jre/lib/security/xxx.cer

然后在这个目录使用 keytool -import 导入证书，详情参考https://blog.youkuaiyun.com/zhuying_linux/article/details/6827043

cd ${JAVA_HOME}/jre/lib/security/ && echo "yes" | keytool -import -alias DXYcacerts -keystore cacerts -storepass changeit -file ${JAVA_HOME}/jre/lib/security/xxx.cer

您可能感兴趣的与本文相关的镜像

Dify

AI应用

Agent编排

Dify 是一款开源的大语言模型（LLM）应用开发平台，它结合了后端即服务(Backend as a Service) 和LLMOps 的理念，让开发者能快速、高效地构建和部署生产级的生成式AI应用。它提供了包含模型兼容支持、Prompt 编排界面、RAG 引擎、Agent 框架、工作流编排等核心技术栈，并且提供了易用的界面和API，让技术和非技术人员都能参与到AI应用的开发过程中