Ssl
我在哪裡可以找到 tomcat 6 Web 伺服器的 SSL 配置?
我繼承了一個小型安全 Web 應用程序,該應用程序在執行 Amazon Linux 的機器上的單個 Tomcat 6 Web 伺服器上執行。我需要禁用 SSLv3 回退,但我找不到 HTTPS 配置所在的位置(例如 pem 文件的路徑等)
/usr/share/tomcat6/conf/server.xml
和的配置文件/etc/tomcat6/server.xml
(它們都是相同的)具有以下(看起來像預設值)設置:<Service name="Catalina"> <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> <Engine name="Catalina" defaultHost="localhost"> <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/> <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false"> <Context path="" docBase="/var/www/" debug="1" reloadable="true" override="true" allowLinking="true" /> <Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" /> </Host> </Engine> </Service>
我的理解是這裡應該有額外的配置,包括 SSL 證書等的詳細資訊。還有其他地方可以配置這些東西嗎?如果不是,為什麼伺服器能成功處理 HTTPS 請求?
在您的情況下,server.xml 中存在 AJP 連接器很好地表明了 web 伺服器(例如帶有 mod_ajp 或 mod_proxy_ajp 的 Apache)被用作前端,例如解除安裝靜態內容的服務並終止 SSL。
然後禁用 SSLv3 取決於正在使用的實際 Web 伺服器,在 Apache 中可以在https://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache上找到一些建議