ERR_SSL_VERSION_OR_CIPHER_MISMATCH с подписанным сертификатом в Tomcat
Возможности, Ваш автообнаруживать, что настройки выключены. Клиенты Outlook используют автоматический, обнаруживают для нахождения обменных серверов и если те имена не находятся на проблемах сертификатов, может закончиться. Локальные клиенты будут использовать mapi или, возможно, даже rpc по http, если исследование doesn будет подходить. Exchange действительно имеет настройки для внутренних и внешних URL автоматического обнаружения.
Вышеупомянутый ответ помог мне диагностировать причину мой "ssl или несоответствие шифра" после того, как я переключился от рабочего Tomcat в IntelliJ IDE и получил настроенный для автономного выполнения.
я настроил keystore для URL кроме (myinitials.company.com) localhost , но пытался получить доступ к нему через https://localhost. Как только я работал keytool --list -keystore <yourkeystore>, это показало, что keystore был настроен для myinitials.company.com. Я изменился на то имя хоста и не получил больше ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Hope это помогает кому-то еще, кто находит эту страницу.
проверьте правильность записи
Если вы запустите keytool --list -keystore , вы должны получить обратно PrivateKeyEntry , что-то вроде этого:
tomcat, Aug 23, 2018, PrivateKeyEntry,
Certificate fingerprint (SHA-256): F2:BA:29:E...
импортировать сертификат
Если у вас есть подписанный сертификат и закрытый ключ , то вы должны экспортировать их в хранилище ключей PKCS12 и импортировать в хранилище ключей Java. Подписанный сертификат не работает без ключа в хранилище ключей.
#export to PKCS12, set password -> it has to be the same as the java keystore password in the next step
openssl pkcs12 -export -name tomcat -in cert.cer -inkey key.pem -out tomcat.p12
#import the pkcs12 keystore. make sure, both passwords are the same
keytool -importkeystore -destkeystore tomcat.keystore -srckeystore tomcat.p12 -srcstoretype pkcs12 -alias tomcat
несоответствие шифра
Не уверен, подходит ли он для вашей проблемы, но, возможно, это приблизит вас к решению: если есть проблемы с сертификатом, например ERR_SSL_OBSOLETE_CIPHER вы можете добавить это в коннектор SSL в server.xml
useCipherSuitesOrder="true"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_SRP_SHA_DSS_WITH_AES_256_CBC_SHA,TLS_SRP_SHA_RSA_WITH_AES_256_CBC_SHA,
TLS_SRP_SHA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_SRP_SHA_DSS_WITH_AES_128_CBC_SHA,TLS_SRP_SHA_RSA_WITH_AES_128_CBC_SHA,
TLS_SRP_SHA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA,TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA,
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA,TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA,
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA,TLS_RSA_WITH_CAMELLIA_128_CBC_SHA"