Включить TLS 1.2 только в apache-tomcat-9 и Java 8 - PullRequest
Новая
       43

Включить TLS 1.2 только в apache-tomcat-9 и Java 8

0 голосов
/ 17 октября 2018

Я развернул свое веб-приложение в Apache Tomcat 9.xx и у меня есть два варианта для Java

  • Openjdk версия 1.8.x
  • Oracle Java 1.8.x

Мне нужно разрешить только TLS 1.2.

Пожалуйста, помогите мне достичь этого.

Я пытался перейти по следующим ссылкам (не уверен, устарели ли они).

Но https://www.ssllabs.com/ssltest/analyze.html?d=<< мой публичный IP >> говорит: TLS 1.1 и TLS 1.0 по-прежнему включены.

как включить TLS v1.2 в Apache tomcat 8, я использую Java 8

Как отключить SSLv3 в tomcat?

Поддерживает ли Tomcat TLS v1.2? (два шага, упомянутые oraclesoon , похоже, не работают)

Как сделатьЯ отключаю поддержку SSLv3 в Apache Tomcat?

Также КАК - Отключить слабые шифры в Tomcat 7 & 8 говорит, что sslProtocol больше не используется в Java8

Ответы [ 3 ]

0 голосов
/ 03 января 2019

Я использую Tomcat 9.0.14 и JSSE.это работает отлично.(с использованием TLSV1.1 и TLSV1.2) 

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig protocols="TLSv1.1,TLSv1.2">     
    <Certificate certificateKeystoreFile="conf/keystore.jks" 
                     type="RSA" />
    </SSLHostConfig>
</Connector>

См .: https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support

0 голосов
/ 19 апреля 2019

Если вам нужно проверять запрос по запросу, чтобы убедиться, что кто-то не настроил ваш сервер неправильно, вы можете добавить ContainerRequestFilter , а затем внутри фильтра (RequestContext requestContext) метод вставки проверки, которая проверяет, что подключение TLS соответствует вашему требованию.

if("TLSv1.2".equals(requestContext.getProperty("org.apache.tomcat.util.net.secure_protocol_version"))
{
   throw new IllegalStateException("Invalid TLS version");
}

Этот пример взят из Tomcat 8, но я подозреваю, что опция может быть доступна для других контейнеров.

0 голосов
/ 17 октября 2018

Коннектор необходимо настроить в файле $ CATALINA_BASE / conf / server.xml.Пример конфигурации APR: 

<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<Connector
           protocol="org.apache.coyote.http11.Http11AprProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           SSLCertificateFile="/usr/local/ssl/server.crt"
           SSLCertificateKeyFile="/usr/local/ssl/server.pem"
           SSLVerifyClient="optional" SSLProtocol="TLSv1.2"/>

Пожалуйста, ознакомьтесь с этим руководством по конфигурации и попробуйте.

...