Ssl

如何在 Apache Tomcat 中禁用 SSLv3 支持?

  • October 21, 2016

我正在嘗試將我的 Apache Tomcat 伺服器重新配置為僅使用 TLSv1。但是,它仍然使用某些瀏覽器回退到 SSLv3。

我使用以下設置設置 <connector> 標記:

&lt;Connector ...
      enableLookups="true" disableUploadTimeout="true"
      acceptCount="100"  maxThreads="200"
      scheme="https" secure="true" SSLEnabled="true"
      clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" /&gt;

我是否缺少配置設置或有一些我不應該出現的東西?

根據 Tomcat 5 和版本 6 的版本,SSLEnabled=“true” 可能無法正常工作,因為它是在發布中期添加的。要解決這個問題,您只需編輯以下內容: sslProtocols = TLS To: sslProtocols = “TLSv1,TLSv1.1,TLSv1.2”

看起來很奇怪,但即使它說 TLS,它也包含 SSL 3。

這在我們的 Tomcat 5.5.20 和 Tomcat 6 實例上修復了它。-格雷格

我相信你需要做的是:

老闆:

&lt;Connector protocol="HTTP/1.1" SSLEnabled="true" 
      enableLookups="true" disableUploadTimeout="true"
      acceptCount="100"  maxThreads="200"
      scheme="https" secure="true" clientAuth="false" 
      keystoreFile="${jboss.server.home.dir}/conf/keystore.jks"
      keystorePass="rmi+ssl"
      sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" /&gt;

不確定密碼套件定義,但是 sslprotocols 應該設置為TLSv1、TLSv1.1、TLSv1.2

根據您的 tomcat 版本,它會有所不同,其他潛在的解決方案:

雄貓 5 和 6

&lt;Connector...
  enableLookups="true" disableUploadTimeout="true"
  acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
  clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" /&gt;

在基於 RHEL5 的發行版上,以下內容適用於Tomcat 6.0.38 之前的Tomcat 6 版本

請注意,TLSv1.1,TLSv1.2Java 7 支持,而不是 Java 6。將這些指令添加到執行 Java 6 的伺服器是無害的,但不會啟用 TLSv1.1 和 TLSv1.2。

&lt;Connector...
  enableLookups="true" disableUploadTimeout="true"
  acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
  clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" /&gt;

雄貓 >=7

&lt;Connector...
      enableLookups="true" disableUploadTimeout="true"
      acceptCount="100"  maxThreads="200" SSLEnabled="true" scheme="https" secure="true"
      clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" /&gt;

Tomcat APR 連接器

&lt;Connector...
              maxThreads="200"
              enableLookups="true" disableUploadTimeout="true"
              acceptCount="100" scheme="https" secure="true"
              SSLEnabled="true" 
              SSLProtocol="TLSv1"
              SSLCertificateFile="${catalina.base}/conf/localhost.crt"
              SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" /&gt;

以上內容已更改以滿足您的連接器規格。來源:https ://access.redhat.com/solutions/1232233

引用自:https://serverfault.com/questions/637649