我正在尝试将Intranet门户网站设置为安全(https)。我添加了证书,密钥存储和端口重定向。这是tomcat server.xml配置条目。
Tomcat Server.xml条目
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true"
keystoreFile="conf/certificates.jks" keystorePass="testpassword"
clientAuth="false" sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" />
面临的问题:
Google Chrome浏览器
This site can’t provide a secure connection
XXXXXXXX.XXXXXX.com uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Unsupported protocol
The client and server don't support a common SSL protocol version or cipher suite.
我无法确定根本原因。
答案 0 :(得分:0)
我怀疑问题在于你已经从一些旧的来源获得了配置,并且由于多年来发现的对SSL / TLS的各种攻击,它不再被认为是安全的。有关示例,请参阅POODLE和WeakDH。 (特别是列表中的TLS_ECDHE_RSA_WITH_RC4_128_SHA现在不被认为是安全的,但可能还有更多。)请尝试从OWASP wiki Tomcat page或WeakDH sysadmin reference page
进行更强大的配置