我实际上正在为我的硕士学位的Webapp项目配置一个WL12c环境,该项目将通过SSL使用。
对于典型配置,我只需在JVM上添加以下内容:
-Dweblogic.security.SSL.Ciphersuites=ECDHE-RSA-AES128-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA128,DHE-RSA-AES128-GCM-SHA384,DHE-RSA-AES128-GCM-SHA128,ECDHE-RSA-AES128-SHA384,ECDHE-RSA-AES128-SHA128,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA384,AES128-GCM-SHA128,AES128-SHA128,AES128-SHA128,AES128-SHA,AES128-SHA,DES-CBC3-SHA
-Dweblogic.security.SSL.protocolVersion=TLS1
我可以使用TLS1 +配置,因为我正在避免RC4和CBC密码..
我真正的问题是,对于其他产品,我有一个确保密码顺序的标志,首先回答“更强大”。请检查 SSLHonorCipherOrder 和 ssl_prefer_server_ciphers 的行:
# apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
# nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
Weblogic 12c有这样的旗帜吗? weblogic.security.SSL.Ciphersuites上使用的顺序就足够了? 我没有从Oracle文档中得到关于我的发现的任何确认。
编辑:我正在使用Java 1.7
谢谢
答案 0 :(得分:1)
没有WL有标志来确保这一点。没有计划很快实现这一点。
来自Oracle支持:
回复1:
不,在JSSE实现中,WLS 12.1.2中没有记录服务器端SSL密码套件首选顺序的文档功能。
回复2:
感谢您耐心等待我获得有关任何可能的密码套件订购的确认信息。 不幸的是,从WLS 12.1.2开始,没有记录服务器端SSL密码套件首选订单的文档功能。
未来的WLS版本可能会有所改变。我目前正在尝试获取信息,如果此功能计划在未来的任何版本中添加,如果这是您感兴趣的话。
回复3:
我收到了产品管理部门的确认,其中包括“SSLHonorCipherOrder'未计划将来包括在内。
但也许这实际上并不需要你,因为以下是WLS的真实情况,我相信这就是你真正想要实现的目标: 在SSL握手期间,客户端发送密码套件列表,然后服务器从其自己的列表中选择客户端也支持的最强密码。
如果您担心任何特定的弱密码套件,则应排除这些密码套件,即仅配置您要使用的强密码套件。