我想知道在wildfly上配置SSL协议的正确方法。
在查看示例时,我发现了两种不同的方法。我想知道哪一个是正确的方法 -
在协议部分添加如下:
<security-realm name="sslRealm">
<server-identities>
<ssl protocol="TLSv1.2">
或者将其添加到https监听器中,如下所示:
<https-listener name="https" socket-binding="https" security-
realm="sslRealm" enabled-protocols="TLSv1.2"/>
我正在使用wildfly-8.2.0.Final。
答案 0 :(得分:3)
此处显示的配置选项也适用于 Wildfly 9和10
正确的方法是同时使用它们。它们密切相关,见下文。
<强> <https-listener ..>
Wildfly Undertow子系统支持enabled-protocols属性,该属性是要支持的以逗号分隔的协议列表。例如:
enabled-protocols="TLSv1.1,TLSv1.2"
仅使用TLSv1.2,就会插入许多漏洞。但是,默认情况下,Wildfly支持所有版本的TLS(v1.0,v1.1和v1.2),即使1.2以下的版本被认为是弱的。
<强> <server-identities />
在这里,基本上,您可以选择以前启用的协议之一。
<security-realm name="sslRealm">
<server-identities>
<ssl protocol="TLSv1.2">
默认情况下,protocol属性设置为TLS,而一般不需要设置。
请注意,如果默认配置没有任何更改,您将获得支持TLSv1.0,TLSv1.1和TLSv1.2的https服务器。
要检查这些配置的效果,请使用:
nmap --script ssl-enum-ciphers -p 8443 <your wildfly IP>