问题分析 #

你碰到的java.lang.IllegalArgumentException: Unsupported ciphersuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384异常，核心原因很明确：OpenJDK 1.7.0_171原生不支持这个加密套件。具体来说：

• Java 7默认受限于JCE（Java Cryptography Extension）的强度限制，AES-256相关的GCM类加密套件不在默认支持列表里；
• 就算安装了无限制JCE，部分早期OpenJDK 7版本对TLS 1.2的AES-GCM套件支持也存在不完善的情况。

解决方案 #

1. 安装JCE无限制强度策略文件

Java 7默认限制了加密算法的强度，需要替换JRE中的策略文件来解锁AES-256相关套件：

• 下载对应Java 7版本的JCE Unlimited Strength Jurisdiction Policy Files；
• 解压后，将local_policy.jar和US_export_policy.jar复制到$JAVA_HOME/jre/lib/security目录下，替换原有文件；
• 重启你的Java应用，再尝试调用HTTPS服务。

2. 升级到Java 8或更高版本（推荐）

这是最彻底的解决方案：

• Java 8及以后的版本原生支持TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384这类TLS 1.2加密套件；
• 从Java 8u161开始，默认启用了无限制加密策略，无需额外配置JCE文件；
• 升级后不仅能解决当前问题，还能避免后续其他TLS/加密套件的兼容性问题。

3. 调整客户端加密套件列表（临时 workaround）

如果暂时无法升级Java，可以在代码中指定客户端支持的加密套件，排除不支持的项，或者替换为Java 7兼容的替代套件：

// 先强制启用TLS 1.2协议，Java 7默认可能优先用旧版本
System.setProperty("https.protocols", "TLSv1.2");

SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket socket = (SSLSocket) factory.createSocket("your-service-host", 443);

// 筛选当前JVM支持的加密套件，排除不兼容的项
String[] supportedCiphers = socket.getSupportedCipherSuites();
List<String> enabledCiphersList = new ArrayList<>();
for (String cipher : supportedCiphers) {
    if (!cipher.equals("TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384")) {
        enabledCiphersList.add(cipher);
    }
}
// 也可以直接指定Java 7支持的替代套件，比如TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
// enabledCiphersList.add("TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384");

socket.setEnabledCipherSuites(enabledCiphersList.toArray(new String[0]));

额外注意点 #

• 一定要确保客户端启用了TLS 1.2协议，Java 7默认可能优先使用TLS 1.0/1.1，通过https.protocols系统属性可以强制指定；
• 如果你用的是Amazon Corretto这类OpenJDK发行版，要确认其是否包含完整的加密库，部分发行版可能需要额外安装加密扩展。

内容的提问来源于stack exchange，提问作者Melad Basilius