Я наследовал маленькое безопасное веб-приложение, которое работает на единственном веб-сервере Tomcat 6 на машине рабочий Amazon Linux. Я должен отключить нейтрализацию SSLv3, но я просто не могу найти, где конфигурация HTTPS расположена (например, путь к pem файлу и т.д.)
Файлы конфигурации в /usr/share/tomcat6/conf/server.xml
и /etc/tomcat6/server.xml
(которые оба идентичны), имеют следующее (что похоже на значение по умолчанию), установка:
<Service name="Catalina">
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
<Engine name="Catalina" defaultHost="localhost">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="" docBase="/var/www/" debug="1" reloadable="true" override="true" allowLinking="true" />
<Valve className="org.apache.catalina.valves.RemoteIpValve" protocolHeader="X-Forwarded-Proto" />
</Host>
</Engine>
</Service>
Мое понимание - то, что должна быть дополнительная конфигурация здесь с деталями сертификата SSL и т.д. Есть ли где-то в другом месте, этот материал может быть настроен? В противном случае, почему сервер обрабатывает Запросы HTTPS успешно?
В вашем случае наличие коннектора AJP в вашем server.xml является хорошим показателем того, что веб-сервер, такой как Apache с mod_ajp или mod_proxy_ajp, используется в качестве прикрытия, например чтобы разгрузить обслуживание статического контента и отключить SSL.
Отключение SSLv3 зависит от фактического используемого веб-сервера, в Apache некоторые предложения можно найти на https://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in- apache