Smithy CLI 与私有 Maven 仓库的 SSL 握手问题分析

问题背景

在使用 Smithy CLI 工具构建项目时，当配置文件中指定了私有 GitHub Maven 仓库作为依赖源时，会出现 SSL 握手失败的问题。这个问题特别发生在尝试从 GitHub Packages 仓库下载依赖时，而同样的配置在使用 Gradle 构建时却能正常工作。

问题现象

开发者在使用 Smithy CLI 执行构建时，日志显示 TLS 握手过程中出现了致命错误："Received fatal alert: handshake_failure"。详细日志表明，客户端尝试建立 SSL 连接时，服务器拒绝了握手请求。

技术分析

根本原因

经过深入分析，发现问题的根源在于：

1. GitHub Packages 服务要求 TLS 连接必须使用椭圆曲线算法(ECC)
2. Smithy CLI 是通过 jlink 工具构建的，默认情况下 jlink 不会包含 Java 的椭圆曲线加密相关模块
3. 这导致客户端无法提供 GitHub 服务器要求的加密算法，从而握手失败

对比 Gradle 工作情况

Gradle 能够正常工作是因为：

1. 使用完整的 JRE 运行环境，包含了所有加密算法支持
2. 不依赖 jlink 的模块化裁剪机制
3. 自动支持服务器要求的各种加密算法

解决方案

Smithy 团队已经确认了这个问题，并计划在近期发布修复版本。修复方案可能包括：

1. 在 jlink 构建时显式包含必要的加密模块
2. 确保 ECC 算法支持被包含在最终的可执行文件中
3. 提供更友好的错误提示，帮助开发者识别此类问题

临时解决方案

在官方修复发布前，开发者可以考虑以下临时方案：

1. 继续使用 Gradle 作为构建工具
2. 将依赖包下载到本地仓库，然后配置 Smithy CLI 使用本地仓库
3. 设置自定义的信任存储或调整 SSL 配置（不推荐，存在安全风险）

最佳实践建议

对于需要使用私有 Maven 仓库的 Smithy 项目：

1. 优先测试与公共仓库的兼容性
2. 确保私有仓库的 TLS 配置与客户端兼容
3. 考虑在 CI/CD 环境中预先缓存依赖
4. 关注 Smithy CLI 的更新，及时获取修复版本

总结

这个问题展示了模块化 Java 应用在特定场景下可能遇到的兼容性挑战。随着 jlink 和模块系统的普及，开发者需要更加注意运行时环境的完整性和特定依赖。Smithy 团队已经意识到这个问题，并将在后续版本中提供解决方案，使 CLI 工具能够更好地支持各种企业级私有仓库配置。