搞定 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 问题！

开始碰到这个问题找遍了各种方法，其实还是需要耐心的先搞清楚原因再想方法靠谱，这里也总结下这个异常的多种解决方案，

首先先理解下为什么出现handshake？字面理解是客户端与服务端握手失败，能导致握手失败的原因是什么？

一.协议版本不同

首先是两边版本协议不一致，例如客户端可能是jdk7 /jdk8 它们支持的协议参考这里https://emacsist.github.io/2017/03/02/https.protocols%E5%9C%A8java%E4%B8%AD%E7%9A%84%E4%BD%BF%E7%94%A8/

可以在运行时加上 -Djavax.net.debug=all 参数 能够看到服务器与客户端之间的协议，如下图：

 

main, WRITE: TLSv1.2 Handshake, length = 88
[Raw write]: length = 93
0000: 16 03 03 00 58 01 00 00   54 03 03 5D E7 98 04 87  ....X...T..]....
0010: BF 47 63 0F 9E C1 B6 BA   BF 39 05 78 28 00 54 87  .Gc......9.x(.T.
0020: 55 F5 71 B2 7B DF 8B E7   55 0A E4 00 00 02 00 35  U.q.....U......5
0030: 01 00 00 29 00 0D 00 1C   00 1A 06 03 06 01 05 03  ...)............
0040: 05 01 04 03 04 01 04 02   03 03 03 01 03 02 02 03  ................
0050: 02 01 02 02 00 17 00 00   FF 01 00 01 00           .............
[Raw read]: length = 5
0000: 15 03 03 00 02                                     .....
[Raw read]: length = 2
0000: 02 28                                              .(
main, READ: TLSv1.2 Alert, length = 2
main, RECV TLSv1.2 ALERT:  fatal, handshake_failure
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: hands

可以看到 第一行客户端 main, WRITE: TLSv1.2 与倒数第三行服务端 main, RECV TLSv1.2 ALERT:  fatal, handshake_failure

两边的协议是一致的 都是TLSv1.2 这个原因可以排除了，当不一致的时候可以启动时加上下面这个参数，去指定jdk使用的TLS协议版本与服务器端保持一致，不过一般从jdk7升到jdk8可能就没这个问题了。

-Dhttps.protocols=SSLv3,TLSv1

二.JCE包引起的

这个是jdk导致的，jdk里面有一个jce的包，安全性机制导致的访问https会报错，可能是客户端证书密钥长度超出限制引起的握手失败，官网上有替代的jar包，换掉或者修改java.security文件就好了。参考这个进行改动，注意自己jdk的版本。

https://blog.51cto.com/zpf666/2341494?source=dra

三.ca证书重新导入jdk

这里在补充下ca证书导入jdk中，用于https访问，笔者就是因为这个证书的问题，我看了没加之前证书是一样的，无奈重新导入一遍就可以了。

先把证书放到这个位置

${JAVA_HOME}/jre/lib/security/xxx.cer

 然后在这个目录 使用 keytool -import 导入证书，详情参考https://blog.csdn.net/zhuying_linux/article/details/6827043

cd ${JAVA_HOME}/jre/lib/security/ && echo "yes" | keytool -import -alias DXYcacerts -keystore cacerts -storepass changeit -file ${JAVA_HOME}/jre/lib/security/xxx.cer