Ssl
如何在 Apache Tomcat 中禁用 SSLv3 支持?
我正在嘗試將我的 Apache Tomcat 伺服器重新配置為僅使用 TLSv1。但是,它仍然使用某些瀏覽器回退到 SSLv3。
我使用以下設置設置 <connector> 標記:
<Connector ... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" />
我是否缺少配置設置或有一些我不應該出現的東西?
根據 Tomcat 5 和版本 6 的版本,SSLEnabled=“true” 可能無法正常工作,因為它是在發布中期添加的。要解決這個問題,您只需編輯以下內容: sslProtocols = TLS To: sslProtocols = “TLSv1,TLSv1.1,TLSv1.2”
看起來很奇怪,但即使它說 TLS,它也包含 SSL 3。
這在我們的 Tomcat 5.5.20 和 Tomcat 6 實例上修復了它。-格雷格
我相信你需要做的是:
老闆:
<Connector protocol="HTTP/1.1" SSLEnabled="true" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/conf/keystore.jks" keystorePass="rmi+ssl" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
不確定密碼套件定義,但是 sslprotocols 應該設置為TLSv1、TLSv1.1、TLSv1.2
根據您的 tomcat 版本,它會有所不同,其他潛在的解決方案:
雄貓 5 和 6
<Connector... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
在基於 RHEL5 的發行版上,以下內容適用於Tomcat 6.0.38 之前的Tomcat 6 版本
請注意,
TLSv1.1,TLSv1.2
Java 7 支持,而不是 Java 6。將這些指令添加到執行 Java 6 的伺服器是無害的,但不會啟用 TLSv1.1 和 TLSv1.2。<Connector... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
雄貓 >=7
<Connector... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat APR 連接器
<Connector... maxThreads="200" enableLookups="true" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" SSLProtocol="TLSv1" SSLCertificateFile="${catalina.base}/conf/localhost.crt" SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />
以上內容已更改以滿足您的連接器規格。來源:https ://access.redhat.com/solutions/1232233