我继承了一个小型安全 Web 应用程序,该应用程序在运行 Amazon Linux 的计算机上的单个 Tomcat 6 Web 服务器上运行。我需要禁用 SSLv3 回退,但我就是找不到 HTTPS 配置的位置(例如 pem 文件的路径等)。
/usr/share/tomcat6/conf/server.xml和处的配置文件/etc/tomcat6/server.xml(两者相同)具有以下(看起来像默认的)设置:
<Service name="Catalina">
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
<Engine name="Catalina" defaultHost="localhost">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="/var/www/" debug="1" reloadable="true" override="true" allowLinking="true" />
<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" />
</Host>
</Engine>
</Service>
我的理解是这里应该有额外的配置,包括 SSL 证书的详细信息等。还有其他地方可以配置这些内容吗?如果没有,为什么服务器可以成功处理 HTTPS 请求?
答案1
在您的情况下,server.xml 中 AJP 连接器的存在很好地表明,带有 mod_ajp 或 mod_proxy_ajp 的 Web 服务器(例如 Apache)被用作前端,例如,卸载静态内容的服务并终止 SSL。
禁用 SSLv3 取决于实际使用的 Web 服务器,在 Apache 中可以找到一些建议https://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache