我正在尝试在生产服务器上配置TLS。
Application Server:JBoss 6.1.0 Final
JDK:1.6.31
以下是JBOSS_HOME/server/default/deploy/jbossweb.sar/server.xml
的代码:
<Connector name="https" protocol="HTTP/1.1" SSLEnabled="true"
port="${jboss.web.https.port}" address="${jboss.bind.address}"
scheme="https" secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/Keystore.jks"
keystorePass="dqwssl" server="Server details not present2"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2"/>
我将Keystore.jks
文件保存在JBOSS_HOME/server/default/conf/
在HTTPS配置之后,该网站在IE8上开放,但在Chrome和Mozilla上没有。
未在Chrome上打开(版本:42.0.2311.135), 误差ERR_SSL_VERSION_OR_CIPHER_MISMATCH
未在Mozilla上开放(版本:37.0.2), 错误:ssl_error_no_cypher_overlap
但是,它在Chrome(早于v40之前)和Mozilla(之前是v33之前)的早期版本上开放。
我在各种网站和博客上搜索了这个问题。 我发现SSL3被禁用,因为它不安全(POODLE和BEAST攻击)。所有现代浏览器都支持TLSv1.2。但是在禁用SSL3时,他们还禁用了SSL3密码套件。
我在HTTP连接器中尝试过密码配置,如:
<Connector name="https" protocol="HTTP/1.1" SSLEnabled="true"
port="${jboss.web.https.port}" address="${jboss.bind.address}"
scheme="https" secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/Keystore.jks"
keystorePass="dqwssl" server="Server details not present2"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2" cipher="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_RC4_128_SHA,TLS_KRB5_WITH_3DES_EDE_CBC_SHA"/>
我几乎没有问题:
对于TLSv1.2:服务器上是否必须使用JDK1.7?
我需要采取哪些配置来克服密码不匹配问题,并且可以在所有使用TLS的现代浏览器上打开网站?
我需要使用哪些密码?
答案 0 :(得分:1)
我想到了这个问题。出现此问题是因为未正确生成SSL证书。 CA证书未导入密钥库文件中。由于此错误,该应用程序未在Mozilla和Chrome新版本上运行。但它正在研究IE。它还在开发Mozilla和Chrome以前的版本。无法弄清楚原因。可能是因为更新的更新,他们应该阻止这种情况。