在JBOSS 6 AS上配置TLS导致ERR_SSL_VERSION_OR_CIPHER_MISMATCH(在Chrome中)或ssl_error_no_cypher_overlap(在Mozilla中)错误

时间:2015-05-20 14:12:21

标签: java ssl browser https jboss6.x

我正在尝试在生产服务器上配置TLS。

Application Server:JBoss 6.1.0 Final

JDK:1.6.31

以下是JBOSS_HOME/server/default/deploy/jbossweb.sar/server.xml的代码:

<Connector name="https" protocol="HTTP/1.1" SSLEnabled="true" 
       port="${jboss.web.https.port}" address="${jboss.bind.address}"
       scheme="https" secure="true" clientAuth="false" 
       keystoreFile="${jboss.server.home.dir}/conf/Keystore.jks"
       keystorePass="dqwssl" server="Server details not present2"
       sslProtocols="TLSv1,TLSv1.1,TLSv1.2"/>

我将Keystore.jks文件保存在JBOSS_HOME/server/default/conf/

在HTTPS配置之后,该网站在IE8上开放,但在Chrome和Mozilla上没有。

  

未在Chrome上打开(版本:42.0.2311.135),   误差ERR_SSL_VERSION_OR_CIPHER_MISMATCH

     

未在Mozilla上开放(版本:37.0.2),   错误:ssl_error_no_cypher_overlap

但是,它在Chrome(早于v40之前)和Mozilla(之前是v33之前)的早期版本上开放。

我在各种网站和博客上搜索了这个问题。 我发现SSL3被禁用,因为它不安全(POODLE和BEAST攻击)。所有现代浏览器都支持TLSv1.2。但是在禁用SSL3时,他们还禁用了SSL3密码套件。

我在HTTP连接器中尝试过密码配置,如:

<Connector name="https" protocol="HTTP/1.1" SSLEnabled="true" 
       port="${jboss.web.https.port}" address="${jboss.bind.address}"
       scheme="https" secure="true" clientAuth="false" 
       keystoreFile="${jboss.server.home.dir}/conf/Keystore.jks"
       keystorePass="dqwssl" server="Server details not present2"
       sslProtocols="TLSv1,TLSv1.1,TLSv1.2" cipher="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_RC4_128_SHA,TLS_KRB5_WITH_3DES_EDE_CBC_SHA"/>

我几乎没有问题:

  1. 在禁用SSL3时,浏览器是否也禁用了SSL3密码套件?
  2. 对于TLSv1.2:服务器上是否必须使用JDK1.7?

  3. 我需要采取哪些配置来克服密码不匹配问题,并且可以在所有使用TLS的现代浏览器上打开网站?

  4. 我需要使用哪些密码?

1 个答案:

答案 0 :(得分:1)

我想到了这个问题。出现此问题是因为未正确生成SSL证书。 CA证书未导入密钥库文件中。由于此错误,该应用程序未在Mozilla和Chrome新版本上运行。但它正在研究IE。它还在开发Mozilla和Chrome以前的版本。无法弄清楚原因。可能是因为更新的更新,他们应该阻止这种情况。