У нас настроен SSL для нашего BO приложение: версия 4.1 SP 10, версия Tomcat: 1.8
В файле server.xml конфигурация имеет вид
. Какая версия SSL используется здесь, и если она использует SSL 1.0 и 1.1, нам нужно изменить ее на 1.2.
Изменения на уровне ОС уже выполнены.
Я принимаю, Вы используете Tomcat 8.5. Эта версия может использовать три вида коннекторов для HTTP/1.1
: Http11NioProtocol
и Http11Nio2Protocol
, который может использовать keystores и и JSSE и OpenSSL как реализации SSL и быстрее Http11AprProtocol
, который использует OpenSSL.
коннектор по умолчанию обнаруживается на основе того, может ли libtcnative быть найден в системе. Ваша реализация является, вероятно, NIO, так как она принимает keystores. Также реализация SSL, вероятно JSSEImplementation
. Это ограничивает Вас [1 117] TLSv1.2, так как Java 8 не поддерживает TLSv1.3.
необходимо изменить конфигурацию коннектора на следующее (опущенные значения по умолчанию):
<Connector port="8443" SSLEnabled="true"
scheme="https" secure="true" maxThreads="150" minSpareThreads="25">
<SSLHostConfig protocols="TLSv1.2,TLSv1.3" sslProtocol="TLSv1.2">
<Certificate certificateKeystoreFile="xxx"
certificateKeystorePassword="xxx"/>
</SSLHostConfig>
</Connector>
Комментарий, что начиная с Tomcat 8.5, указывая keystore на <Connector>
работы элемента, но удерживается от использования. Необходимо использовать <SSLHostConfig>
как выше.
пз: , Если я помню правильно, SSLv3 отключен по умолчанию на Java 8, таким образом, Вы не должны волноваться об этом.