Bob*_*Bob 14 ssl tomcat centos certificate diffie-hellman
我成功地使用Tomcat和SSL证书设置了两台Ubuntu机器.我使用Centos 6完全遵循相同的程序,但是当我尝试连接到服务器(使用Opera)时,我得到了这个:
服务器有一个弱的,短暂的Diffie-Hellman公钥
连接器如下,catalina.log中没有错误:
<Connector port="some port number"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="path to jks"
keystoreType="JKS"
keystorePass="mypass1"
keyPass="mypass2" />
使用Firefox,我得到了不受信任的通信错误.
cen*_*tic 30
对我来说,在将一个允许的密码列表添加到conf/server.xml中的Tomcat配置以禁用弱Diffie-Hellman密码之后,它才起作用:
<Connector
...
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
...
这是因为新的浏览器版本在访问配置了SSL的弱DH密码的网站时已经开始发出警告/错误.有关问题的更多信息,请参阅以下链接
要解决此问题,您可以在浏览器端或服务器端找到解决此问题的方法.服务器端是最好的,因为它将解决所有用户的问题,如果他们从不同的浏览器/位置访问服务器.
修复我们必须确保我们的服务器(在本例中为tomcat)使用强密码进行SSL的问题.
在tomcat中,有两种不同的SSL实现.Defautl是作为Java运行时的一部分提供的JSSE实现.其他是APR实现,默认情况下使用OpenSSL引擎.
JSSE因为它依赖于Java运行时,我们必须首先找出我们使用tomcat的Java版本.Tomcat 7支持java 1.6以上版本.然后我们必须找到相关java版JSSE支持的相应密码套件.弱的是哪个有' DHE ',所以选择那些不包含' DHE '的.下面列出了几个更强大的java 1.6 JSSE套件.
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_RC4_128_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_NULL_SHA
TLS_ECDH_RSA_WITH_NULL_SHA
TLS_ECDHE_ECDSA_WITH_NULL_SHA
TLS_ECDHE_RSA_WITH_NULL_SHA
...
编译强密码套件列表,并将其添加到tomcat中conf/server.xml中的连接器密码
<Connector
...
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_NULL_SHA,TLS_ECDH_RSA_WITH_NULL_SHA,TLS_ECDHE_ECDSA_WITH_NULL_SHA,TLS_ECDHE_RSA_WITH_NULL_SHA"
...
/>
重新启动服务器,错误/警告应该消失.请记住,如果Java版本不同,上面的复制/粘贴可能不起作用.因此,请参阅正确的版本和支持的密码套件.
注意:为了能够使用256位AES密码,必须安装JCE Unlimited Strength Jurisdiction Policy Files
如果Tomcat配置为使用APR而不是JSSE,则上述配置将不起作用.您可以按照适用于APR和logjam管理指南的tomcat ssl配置指南启用强密码套件.
| 归档时间: |
|
| 查看次数: |
32051 次 |
| 最近记录: |