Tomcat 9.2未选择禁用TLS 1.0的配置

时间:2019-03-08 02:39:54

标签: tomcat9

我正在尝试在Tomcat 9.0.2中禁用TLS 1.0,但是该属性从未使用过

以下是错误

2019年2月20日22:51:40.913警告[main] org.apache.catalina.startup.SetAllPropertiesRule.begin [SetAllPropertiesRule] {Server / Service / Connector / SSLHostConfig / Certificate}将属性“ sslProtocol”设置为“ TLSv1” .1,TLSv1.2'找不到匹配的属性。 2019年2月20日22:51:40.914警告[main] org.apache.catalina.startup.SetAllPropertiesRule.begin [SetAllPropertiesRule] {Server / Service / Connector / SSLHostConfig / Certificate}将属性“ sslEnabledProtocols”设置为“ TLSv1.1, TLSv1.2'找不到匹配的属性。

Server.XML配置文件

    <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="/opt/certs/newtomcatcert/hello.gi.com.jks"
             certificateKeystorePassword="########*"
                         type="RSA" sslProtocol="TLSv1.1,TLSv1.2"
           sslEnabledProtocols="TLSv1.1,TLSv1.2" />
        </SSLHostConfig>
    </Connector>
    -->

nmap结果

于2019-03-04 19:54 EST开始Nmap 5.51(http://nmap.org) hello.gi.com的Nmap扫描报告(10.10.100.71) 主机已启动(0.0013s延迟)。 港口国服务 443 / TCP打开https | ssl-enum-ciphers: | TLSv1.0 |密码(4) | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |压缩机(3) |未压缩 |未压缩 |未压缩 | TLSv1.1 |密码(4) | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |压缩机(3) |未压缩 |未压缩 | _未压缩 MAC地址:00:50:56:A4:E0:AE(VMware)

已完成Nmap:在1.29秒内扫描了1个IP地址(1个主机已启动)

2 个答案:

答案 0 :(得分:0)

最后证明它是一种语法   

Provisioning profile "iOS Team Provisioning Profile: XXXXXX.XXXXXX" doesn't include the application-identifier and keychain-access-groups entitlements.

答案 1 :(得分:0)

如果你想在 Tomcat 9.0.44 上配置这个连接器,你会在第二个元素 TLSv1.2 之前缺少一个 + 号。

以使用 Java NIO 连接器为例:

    <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig protocols="TLSv1.1,+TLSv1.2">
            <Certificate certificateKeystoreFile="/path/to/keystore.jks"
                         certificateKeystorePassword="***********"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

另一个例子,如果你想使用 Java NIO2 连接器。这允许您使用 HTTP2 协议,如果您想激活 TLSv1.1、TLSv1.2 和 TLSv1.3,则可以使用以下连接器:

    <Connector port="8443" 
               protocol="org.apache.coyote.http11.Http11Nio2Protocol"
               maxThreads="150" SSLEnabled="true">
        <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
        <SSLHostConfig protocols="TLSv1.1,+TLSv1.2,+TLSv1.3">
            <Certificate certificateKeystoreFile="/path/to/keystore.jks"
                         certificateKeystorePassword="***********"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

最后一个示例与前一个示例类似,但删除了所有不再安全的协议(除 SSLv2、SSLv3 和 TLSv1.0 之外的所有协议):

    <Connector port="8443" 
               protocol="org.apache.coyote.http11.Http11Nio2Protocol"
               maxThreads="150" SSLEnabled="true">
        <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
        <SSLHostConfig protocols="all,-SSLv2,-SSLv3,-TLSv1">
            <Certificate certificateKeystoreFile="/path/to/keystore.jks"
                         certificateKeystorePassword="***********"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>
相关问题
最新问题