本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在适用于 Java 的 SDK 中使用 TLS
Amazon SDK for Java 使用其底层 Java 平台的 TLS 功能。在本主题中,我们将演示使用 Amazon Corretto 17 使用的 OpenJDK 实现的示例。
要使用 Amazon Web Services,底层 JDK 必须支持 TLS 1.2 的最低版本,但建议使用 TLS 1.3。
用户应查阅他们与 SDK 结合使用的 Java 平台的文档,以了解默认情况下启用了哪些 TLS 版本以及如何启用和禁用特定的 TLS 版本。
如何检查 TLS 版本信息
以下代码使用 OpenJDK 演示如何使用 SSLContext
System.out.println(Arrays.toString(SSLContext.getDefault().getSupportedSSLParameters().getProtocols()));
例如,Amazon Corretto 17 (OpenJDK) 会生成以下输出。
[TLSv1.3, TLSv1.2, TLSv1.1, TLSv1, SSLv3, SSLv2Hello]
要查看 SSL 握手的运行情况以及使用的 TLS 版本,可使用系统属性 javax.net.debug。
例如,运行使用 TLS 的 Java 应用程序。
java app.jar -Djavax.net.debug=ssl:handshake
应用程序将记录 SSL 握手,类似于以下内容。
... javax.net.ssl|DEBUG|10|main|2022-12-23 13:53:12.221 EST|ClientHello.java:641|Produced ClientHello handshake message ( "ClientHello": { "client version" : "TLSv1.2", ... javax.net.ssl|DEBUG|10|main|2022-12-23 13:53:12.295 EST|ServerHello.java:888|Consuming ServerHello handshake message ( "ServerHello": { "server version" : "TLSv1.2", ...
强制使用最低版本的 TLS
适用于 Java 的 SDK 始终首选平台和服务支持的最新 TLS 版本。如果您希望强制指定特定的最低 TLS 版本,请查阅 Java 平台的文档。
对于基于 OpenJDK 的 JVM,您可以使用系统属性 jdk.tls.client.protocols。
例如,如果您希望应用程序中的 SDK 服务客户端使用 TLS 1.2(即使 TLS 1.3 可用),请提供以下系统属性。
java app.jar -Djdk.tls.client.protocols=TLSv1.2
Amazon API 端点升级到 TLS 1.2
有关迁移到 TLS 1.2 的最低版本 Amazon 的 API 端点的信息,请参阅此博客文章