当我尝试访问我的应用程序时,我在FF中收到此错误。
(错误代码:ssl_error_weak_server_ephemeral_dh_key)
我在配置SSL时遵循此HOW TO,但它不起作用。那么如何配置TomEE?
我所做的是生成密钥库:
keytool -genkeypair -v -dname "cn=NAME, ou= NEME, o= NAME, l=CITY, st=STATE, c=XX" -alias tomcat - keypass PASS -storepass PASS -keyalg RSA -validity 3650
并添加到server.xml:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="false" maxThreads="25"
port="8444" keystoreFile="KEYSTORE_FILE" keystorePass="PASS"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS" />
但它不起作用
答案 0 :(得分:1)
您看到的错误是由于Firefox对Logjam attack 的缓解。要解决这个问题,你必须增加你的DH密钥长度,不幸的是,这对于Tomcat或TomEE来说似乎不是一个选项。
您目前拥有的选项是
a)删除对您的服务器的DH密码套件的支持,并且仅允许非DH密码套件。这在official Logjam mitigations page中进行了描述(向下滚动到标题为&#34; Apache Tomcat&#34;的部分)。请密切注意有关使用256位AES密码所需操作的说明。
OR
b)禁用Firefox中的安全设置,以允许连接到像您这样具有弱DH密钥的网站。这是不可取的,因为您的用户可能不愿意仅为了访问您的网站而降低其安全性。这在相关的Security Stack Exchange answer中有所描述。