我实际上正在为我的硕士学位的 Webapp 项目配置一个 WL12c 环境,该项目将通过 SSL 使用。
对于典型的配置,我只是在 JVM 属性上添加以下内容:
-Dweblogic.security.SSL.Ciphersuites=ECDHE-RSA-AES128-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA128,DHE-RSA-AES128-GCM-SHA384,DHE-RSA-AES128-GCM-SHA128,ECDHE-RSA-AES128-SHA384,ECDHE-RSA-AES128-SHA128,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA384,AES128-GCM-SHA128,AES128-SHA128,AES128-SHA128,AES128-SHA,AES128-SHA,DES-CBC3-SHA
-Dweblogic.security.SSL.protocolVersion=TLS1
我可以接受 TLS1+ 配置,因为我避免使用 RC4 和 CBC 密码..
我真正的问题是,对于其他产品,我有一个确保密码顺序的标志,首先回答“更强大”。请检查带有 SSLHonorCipherOrder 和 ssl_prefer_server_ciphers 的行:
# apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
# nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
Weblogic 12c 有这样的标志吗? weblogic.security.SSL.Ciphersuites 上使用的顺序是否足够? 我没有从 Oracle 文档中确认我的发现。
编辑:我正在使用 Java 1.7
谢谢
最佳答案
没有 WL 有标志来确保这一点。也没有计划尽快实现。
来自 Oracle 支持:
回复1:
不,对于 JSSE 实现,WLS 12.1.2 中没有记录的功能来遵守服务器端 SSL 密码套件的首选顺序。
回复2:
感谢您在我获得有关任何可能的密码套件订购的确认时的耐心等待。 不幸的是,从 WLS 12.1.2 开始,没有记录在案的支持服务器端 SSL 密码套件首选顺序的功能。
对于 future 的 WLS 版本,这可能会发生变化。如果您对此感兴趣,我目前正在尝试获取有关是否计划在任何 future 版本中添加此功能的信息。
回复3:
我已收到来 self 们产品管理部门的确认信息,即 future 不打算包含诸如“SSLHonorCipherOrder”之类的选项。
但也许这实际上不是您所需要的,因为以下对于 WLS 是正确的,我相信这就是您真正想要实现的目标: 在 SSL 握手期间,客户端发送一个密码套件列表,然后服务器从它自己的列表中选择客户端也支持的最强密码。
如果您担心任何特定的弱密码套件,您应该排除那些,即仅配置您想要使用的强密码套件。
关于java - Weblogic 12c - 是否有任何标志来确保 SSL 配置上的密码顺序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29172833/