Как заставить JBoss 5.1.0 GA соответствовать стандартам Диффи-Хеллмана?
Как неспециалисты по администрированию и безопасности веб-серверов, мы пытаемся обновить конфигурацию нашего веб-сервера JBoss 5.1.0 GA, чтобы она соответствовала стандартам Диффи-Хеллмана. JBoss был установлен для нас как часть среднего уровня на более крупной платформе. Мы видели документацию для других серверов здесь, решение для другой версии JBoss здесь, и что-то, что работало для той же версии JBoss для автора, но не работало для нас здесь. Тег соединителя в нашем исходном файле server.xml имеет sslProtocol = "TLS", а атрибут шифров вообще отсутствует.
Вместо этого мы попытались изменить настройку sslProtocol = "TLS" на множественное число sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" и перезапустить JBoss, но это, похоже, не дает никакого эффекта. Кто-нибудь знает о полезных бесплатных ресурсах, чтобы JBoss 5.1.0 GA соответствовал стандартам Диффи-Хеллмана? Спасибо.
2 ответа
Для всех, кто сталкивался с этим с JBoss 5.1.0 GA, настройки, которые работали для нас, были похожи на это:
<Connector protocol="HTTP/1.1" SSLEnabled="true"
port="8543" address="${jboss.bind.address}" scheme="https" secure="true" clientAuth="false"
keystoreFile="/opt/novell/idm/jre/bin/mycert.keystore"
keystorePass="mypassword" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_W ITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_W ITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_1 28_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" />
Вы также можете увеличить размер DHE (1024 и 2048 в Java 8 и до 9192 в Java 9). И вы можете предоставить пользовательские параметры DH в Java8+, как описано здесь: /questions/564607/kak-sgenerirovat-novyie-2048-bitnyie-parametryi-diffi-hellmana-s-pomoschyu-java/564614#564614