我的公司向默认使用 http 的客户提供了一个基于 Tomcat/MySQL 的应用程序。应客户的要求,我通过创建自签名证书使其能够使用 https。使用自签名证书时,这会受到预期的浏览器错误的影响。
经过渗透测试,他们决定我们需要禁用一些已弃用的 ssl 协议和密码,因此我将 tomcat server.xml 中的 ssl 连接器修改为如下所示:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_WITH_AES_128_GCM_SHA256"
keystoreFile="/path/to/keystore/file"
keystorePass="password" />
这满足了渗透测试,该应用程序继续在所有三个主要浏览器(Chrome、Firefox 和 IE)中运行。但是,渗透测试也表明我们最好不要使用自签名证书,因此,按照这些 指南,我创建了一个 CSR 并让客户创建了一个签名到其内部域的证书(服务器可以通过以下方式访问)几个不同的 URL,因此需要使用 SAN 创建 CSR)。
我将证书添加到新的密钥库并相应地修改了 server.xml 文件中的路径。现在,当我尝试连接时,出现以下错误(这是来自 Firefox,但所有浏览器都会产生类似的错误):
安全连接失败
连接到 172.31.1.36:8443 期间发生错误。无法与对等方安全通信:没有通用的加密算法。错误代码:SSL_ERROR_NO_CYPHER_OVERLAP
由于无法验证接收到的数据的真实性,因此无法显示您尝试查看的页面。请联系网站所有者以告知他们此问题。
我的理解是证书不控制应该使用什么密码或协议,所以我不明白为什么会发生这种情况。这是我在生成 CSR 时犯的错误还是客户端在生成证书时犯的错误?
-编辑-
我似乎到处都在出错。如果我尝试将密钥导入密钥库,我会得到以下任一信息:
cat <keyfile> | openssl pkcs12 -export -out <keystore>.p12
Enter pass phrase:
unable to load certificates
或这个:
keytool -importkeystore -srckeystore <keyfile> -srcstoretype pkcs12 -destkeystore <keystore>.jks
Enter destination …我已经按照此处的详细说明安装了今天发布的补丁,然后设置了前面提到的两个注册表项:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
但是,当我运行提供的 PowerShell 模块进行检查时,它通知我缓解措施仍未启用:
PS C:\Users\Administrator> get-speculationcontrolsettings
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False
Speculation control settings for CVE-2017-5754 [rogue data …我有一台 Windows Server 2003 机器(我知道,但它\xe2\x80\x99s 不在我的控制范围内),上面有一堆网络共享。我有一台刚刚使用 Windows 10 2004 重建的笔记本电脑。我\xe2\x80\x99在 Windows 功能对话框中启用了 CIFS/SMB1,我可以使用文件资源管理器中的 UNC 并通过运行提示浏览到网络共享。
\n但是,一旦我将其中一个共享映射为网络驱动器,文件资源管理器就无法连接。如果我单击其中一个驱动器,它似乎会挂起资源管理器并最终超时(如果我在此之前不强制重新启动资源管理器)。在重建之前,即使在升级到 Windows 10 2004 后,连接到映射驱动器的笔记本电脑也能正常工作,其他笔记本电脑也是如此。
\n我缺少什么才能让其他笔记本电脑连接到这些驱动器?我应该使用任何其他设置来解决此问题吗?
\n