当遇到 JDK 版本不支持 TLS 1.3 时，可以通过以下四种方案来解决。具体选择取决于您的项目约束（如是否允许升级 JDK 版本）：

方案一：升级 JDK 版本（首选推荐）
不同版本的 JDK 对 TLS 1.3 的原生支持程度不同，升级是最稳妥的方案：
JDK 8：原生不支持，必须升级到 8u261 或更高版本 才能获得对 TLS 1.3 的良好支持。
JDK 11：默认支持 TLS 1.3，但需确认具体环境配置无误。
JDK 17 及以上：原生支持 TLS 1.3，无需任何额外配置。

方案二：使用 JVM 启动参数显式启用（针对 JDK 8u261+）
如果您的 JDK 版本已经是 8u261 以上，但默认未启用 TLS 1.3，可以通过添加 JVM 启动参数来强制开启：
-Djdk.tls.client.protocols=TLSv1.3
注：如果需要兼容旧服务，也可以设置为 -Djdk.tls.client.protocols="TLSv1.3,TLSv1.2"。

方案三：引入第三方安全提供程序（针对不升级 JDK 的情况）
如果项目受限无法升级 JDK 版本，可以通过引入第三方加密库来为旧版本 JDK 增加 TLS 1.3 支持：
Azul OpenJSSE：适用于 JDK 8。将 OpenJSSE 库添加到项目中，并在 JAVA_HOME/jre/lib/security/java.security 文件中将其配置为第一个安全提供程序：security.provider.1=org.openjsse.net.ssl.OpenJSSE。
BouncyCastle：适用于 JDK 1.6 / 1.7。下载对应的 FIPS 库文件放入 {JRE_HOME}/lib/ext 文件夹下，并在 java.security 文件中将 BouncyCastle 的 Provider 置于列表首位。

方案四：排查并修改安全配置文件
有时 JDK 版本本身支持 TLS 1.3，但由于安全策略配置禁用了该协议，也会导致连接失败。
检查禁用列表：找到 JDK 目录下的 java.security 文件（JDK 11+ 位于 JAVA_HOME/conf/security/，JDK 8 位于 $JAVA_HOME/jre/lib/security/）。
修改配置：检查 jdk.tls.disabledAlgorithms 属性，如果其中包含了 TLSv1.3，将其删除即可。

⚠️ 关键排查提醒：
在修改客户端配置前，请务必同时检查服务端（接口提供方）的配置。如果服务端不支持 TLS 1.3，即使客户端成功启用了该协议，双方也无法完成握手，依然会导致接口访问不通。