ssl - 保护 tomcat7 - 禁用 RC4 不起作用-6ren

ssl - 保护 tomcat7 - 禁用 RC4 不起作用

转载作者：太空宇宙更新时间：2023-11-03 12:53:20

25

4

我正在尝试保护我的 tomcat 7 设置。我目前有两个问题，第一个是:

我基本上使用默认配置，我只是扩展了 ssl 配置以获得 SSL Labs 上的 A 评级。 .

我的问题是我想禁用 RC4，因为它不安全，所以我添加了我信任的密码套件(嗯，它是 list of Mozilla)它以 !aNULL:!eNULL:!EXPORT 结尾: !DES:!RC4:!3DES:!MD5:!PSK 这意味着 AFIK 不应使用这些算法。但是这里仍然使用 RC4 是我的完整配置(无注释):

<Server port="8005" shutdown="SHUTDOWN">
 <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
  <Listener className="org.apache.catalina.core.JasperListener" />
  <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" />
  <Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" />
  <Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener" />
  <GlobalNamingResources>
    <Resource name="UserDatabase" auth="Container"
              type="org.apache.catalina.UserDatabase"
              description="User database that can be updated and saved"
              factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
              pathname="conf/tomcat-users.xml" />
  </GlobalNamingResources>
  <Service name="Catalina">
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               URIEncoding="UTF-8"
               redirectPort="8443" />
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" SSLHonorCipherOrder="true"
               SSLDisableCompression="true" SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK"
               SSLCertificateChainFile="/root/ca.crt"
               SSLCACertificatePath="/etc/ssl/certs"
               keystoreFile="/path/to/keystore" keystorePass="pwd" />
    <Engine name="Catalina" defaultHost="localhost">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>

      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />

      </Host>
    </Engine>
  </Service>
</Server>

如果你知道我做错了什么，请告诉我。

最佳答案

您已经像使用 APR/OpenSSL 一样格式化您的密码套件列表，但仍配置为使用 NIO 连接器，它将依赖 Java 进行连接，因此需要密码列表的格式.将您的首选套件放入逗号分隔列表(没有套件类别，只有显式配置)，重新启动，看看是否不能为您解决问题。

可在此处找到 Oracle Java 8 密码名称:http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html

您可以使用此连接器:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" SSLHonorCipherOrder="true"
           SSLDisableCompression="true" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
           keystoreFile="/path/to/keystore" keystorePass="pwd" />

关于ssl - 保护 tomcat7 - 禁用 RC4 不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30299309/

25

4

0

文章推荐： c - 使用 CyaSSL Keygen 时出现段错误

文章推荐： android - 抽屉导航列表元素不起作用

文章推荐： Python:检查 2 个列表是否一起增加的任何优化方法？

tomcat - tomcat 安全领域是否有 tomcat 匿名角色或用户？
我希望在某些环境中使用用户名和密码保护某个角色，但在其他环境中甚至不需要提示。如果我在 tomcat web.xml 中有一个 auth-constraint，我可以创建一个具有“匿名”访问权限的角色
tomcat - 使用 Tomcat 管理器监控 Tomcat
我正在使用 Tomcat jmxproxy 和状态来监视 Web 应用程序，但是 jmxproxy 页面中有很多无用的信息，并且其中没有任何信息，例如事件连接数。有谁知道如何过滤 jmxproxy 页
tomcat - 从 Tomcat 本身重新启动 Tomcat
是否可以通过执行 JSP 来重启 Tomcat6？这是因为我想通过使用网络服务器远程部署应用程序的更改。部署脚本是用 bash 编写的，它从 svn 中 check out 最新版本，然后将其打包
tomcat - Gradle tomcat 插件尝试启动 tomcat 两次
我有一个包含 2 个子项目(后端和 ui)的 gradle 项目。 Ui由gradle tomcatRunWar完美启动.后端有我们在生产地点的配置描述符/conf/Catalina/localhos
tomcat - XAMPP Tomcat 显示正在运行但并未运行。无法阻止 Tomcat
发现 XAMPP 控件认为 tomcat 正在运行但无法停止它的问题。在catalina下的tomcat logs目录下可以找到如下错误 “严重:无法联系 localhost:8005。Tomcat
tomcat - puppetlabs/tomcat 模块是否使设置 Tomcat 的上下文路径变得简单？
PuppetLabs 在 PuppetForge 上有一个模块，用于部署 Tomcat 及其配置。 https://forge.puppet.com/puppetlabs/tomcat Tomcat
tomcat - 如何将 Tomcat 配置为在 Tomcat 启动时不自动启动某些应用程序？
我有一个部署到 Tomcat 实例中的 Web 应用程序。我希望能够将 tomcat 配置为在 Tomcat 本身启动时不自动启动该应用程序。但是，我确实希望启动 Tomcat 管理器，以便我可以根据
tomcat - 如何在不重新安装 Tomcat 的情况下安装 Tomcat Manager？
操作系统:windows XP。我已经安装了 Tomcat 7.0.25，文件夹“manager”位于 webapps 文件夹中。我已阅读此处的文档:http://tomcat.apache.or
tomcat - 访问日志分析@Tomcat
我们在 server.xml 文件中启用了以下访问日志模式 pattern="%h %H %l %u %t "%r" %s %b location: %{location}o"。有人可以帮助理解模式
tomcat - Tomcat 如何将请求映射到特定应用程序
我最近开始使用 tomcat，我有一个关于 Tomcat 请求路由/映射的查询。假设我在 tomcat 服务器中部署了四个应用程序 A、B、C 和 D，当有请求到来时，tomcat 如何知道要调用哪
tomcat - 通过外部设备访问 Tomcat
我在我的计算机上使用 Tomcat，它可以通过端口 8080 访问。我想要的是我应该能够使用我的计算机的 IP 地址访问我的 Tomcat 服务器页面。我以前读过很多主题，但找不到一个可以帮助我的主题
tomcat - tomcat 上的架构错误
我有一个 tomcat 7 服务器和一个 postgreSQL 9.0 数据库。我用它来为地理网络元数据编辑器设置开发环境。一切都是根据 geonetwork 网站教程设置的。我在将服务器与数据库连接
tomcat - 带有虚拟IP的Apache tomcat
我的服务器有物理 ip 和虚拟 ip 由网络管理员设置。在我安装的服务器内部 Apache tomcat 7.0.29并创建一个网络应用程序。当我运行 wget http://:8080/xxx或
tomcat - 使用单个 psi(tomcat) 探针来监控跨不同 tomcat 实例的多个实例
我有多个应用程序在不同的端口上运行(tomcat 实例) 都有相同的CATALINA_HOME 目前我必须在所有实例中部署和安装psi 探针，并在不同的窗口中分别监控每个端口。我如何在一个单一的探测
tomcat - 将 tomcat 控制台重定向到文件，每次 Tomcat 启动时都应该创建一个新文件
based on this question 我尝试将 Tomcat 控制台输出重定向到一个文本文件，它对我的 Web 应用程序工作正常，但问题是，每次 Tomcat 启动时它都会被覆盖。我需要创
tomcat - Tomcat 中已部署应用程序的内存
我需要阐明我的问题。问题是:有什么方法可以影响 Tomcat 为特定部署的应用程序分配多少堆内存？更多详细信息 - 我如何为已部署的应用程序设置特定的 Java 选项(考虑我想为每个应用程序设置特殊的
tomcat - tomcat 7中的类加载
应用服务器内部的类加载机制是开发人员常见的困惑来源；这就是为什么我想问一个关于 tomcat 7 服务器中这个机制的问题:我有一个网络应用程序 sample.war，它依赖于 jgroups 库，放
tomcat - 将嵌入式 tomcat 5 迁移到 tomcat 7
尝试将嵌入式 Tomcat 5 迁移到嵌入式 Tomcat 7。在启动过程中获取 NPE。我扩展了 Embedded 类并按照正确的顺序执行所有建议的初始化。 NPE 发生在这里: Caused b
tomcat - 使用指定的根目录和主页运行 Tomcat
我可以使用随附的 start.sh 文件启动 tomcat，但是是否有任何参数可以用来执行以下操作: 在指定的根目录启动 Tomcat 服务强制 Tomcat 在浏览器中拉出指定的主页谢谢最佳答
tomcat - tomcat 中的集群组中没有事件成员
我在两台 diff 机器 tomcat 服务器上做一个简单的集群配置。每次我启动 tomcat 时，我都会收到一个错误，就像集群组中没有事件成员一样。我正在附加集群配置

首页

博学

6Ren·AI

商城

ssl - 保护 tomcat7 - 禁用 RC4 不起作用