我们的Java应用程序目前使用SSL通过https在客户端和服务器之间进行通信。客户要求是否可以对TLS进行升级,以及他们是否可以在不同位置同时使用TLS和SSL。我不清楚如何回答他们的问题或如何继续。
jetty-ssl.xml文件如下:
<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/configure.dtd">
<!-- =============================================================== -->
<!-- Configure SSL for the Jetty Server -->
<!-- this configuration file should be used in combination with -->
<!-- other configuration files. e.g. -->
<!-- java -jar start.jar etc/jetty.xml etc/jetty-ssl.xml -->
<!-- =============================================================== -->
<Configure id="Server" class="org.mortbay.jetty.Server">
<Call name="addConnector">
<Arg>
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="handshakeTimeout">2000</Set>
<Set name="keystore">/xservices-config/keystore</Set>
<Set name="password">password</Set>
<Set name="keyPassword">password</Set>
<Set name="truststore">/keystore</Set>
<Set name="trustPassword">password</Set>
<Set name="handshakeTimeout">2000</Set>
<!-- Set name="ThreadPool">
<New class="org.mortbay.thread.BoundedThreadPool">
<Set name="minThreads">10</Set>
<Set name="maxThreads">250</Set>
</New>
</Set -->
</New>
</Arg>
</Call>
</Configure>
请告诉我如何实施它。
答案 0 :(得分:0)
您确定需要“启用”此功能吗?我刚回到码头文件并想通了,只要你不排除一个协议,你就允许它们全部。使用本地工具(sslscan,nmap等)或Web应用程序(例如来自Qualys或COMODO)检查安装。
如果您在上述分析中发现您没有运行版本,则可以使用Apache Web服务器作为HTTPS端点,并将内容mod_proxy用于jetty。
如果以上是您对码头的SSL配置,我强烈建议您加强它!排除旧版SSL协议(例如SSLv2)和弱密码!正如其他人所说,SSLv3实际上也是遗留的,不再推荐了。在你的位置,我会回到你的客户端,检查他为什么要运行SSLv3。除非他没有期待死旧系统的连接(例如使用IE的Win XP),否则没有太多理由让SSLv3运行。但是,如果他不知道谁用什么浏览器连接到他的页面,请查看日志。如果日志没有显示用于连接到应用程序的Web浏览器的指示,我强烈建议启用它,运行一段时间然后做出决定。