由于我们不是 Web 服务器管理和安全方面的专家,因此我们很难更新 JBoss 5.1.0 GA Web 服务器配置以满足 Diffie-Hellman 标准。JBoss 是作为较大平台中间层的一部分安装的。我们看过其他服务器的文档这里,另一个版本的 JBoss 的解决方案这里,并且对同一版本的 JBoss 有效,但对我们不起作用这里。我们原来的server.xml文件中的connector标签有sslProtocol =“TLS”,并且根本没有ciphers属性。
我们尝试将 sslProtocol = "TLS" 设置改为复数 sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" 并重新启动 JBoss,但这似乎没有效果。有谁知道有哪些有用的免费资源可以让 JBoss 5.1.0 GA 满足 Diffie-Hellman 标准?谢谢。
答案1
对于在使用 JBoss 5.1.0 GA 时遇到此问题的任何人来说,最终对我们有用的设置与此类似:
<Connector protocol="HTTP/1.1" SSLEnabled="true" port="8543" address="${jboss.bind.address}" scheme="https" secure="true" clientAuth="false" keystoreFile="/opt/novell/idm/jre/bin/mycert.keystore" keystorePass="mypassword" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_W ITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_W ITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_1 28_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" />
答案2
实际上,您还可以增加 DHE 大小(Java 8 中为 1024 和 2048,Java 9 中最高可达 9192)。您还可以在 Java8+ 中提供自定义的 DH 参数,如下所述:https://serverfault.com/a/798036/4591