我们的 java 应用程序目前使用 SSL 在使用 https 的客户端和服务器之间进行通信。客户询问是否可以升级到 TLS,以及他们是否可以在不同位置同时使用 TLS 和 SSL。我无法清楚地理解如何回答他们的问题或如何进行。
jetty-ssl.xml文件如下:
<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/configure.dtd">
<!-- =============================================================== -->
<!-- Configure SSL for the Jetty Server -->
<!-- this configuration file should be used in combination with -->
<!-- other configuration files. e.g. -->
<!-- java -jar start.jar etc/jetty.xml etc/jetty-ssl.xml -->
<!-- =============================================================== -->
<Configure id="Server" class="org.mortbay.jetty.Server">
<Call name="addConnector">
<Arg>
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="handshakeTimeout">2000</Set>
<Set name="keystore">/xservices-config/keystore</Set>
<Set name="password">password</Set>
<Set name="keyPassword">password</Set>
<Set name="truststore">/keystore</Set>
<Set name="trustPassword">password</Set>
<Set name="handshakeTimeout">2000</Set>
<!-- Set name="ThreadPool">
<New class="org.mortbay.thread.BoundedThreadPool">
<Set name="minThreads">10</Set>
<Set name="maxThreads">250</Set>
</New>
</Set -->
</New>
</Arg>
</Call>
</Configure>
请告诉我如何实现它。
最佳答案
你确定你需要“启用”这个吗?我刚刚回到 jetty 文档并想,只要你不排除协议(protocol),你就允许它们全部。使用本地工具(sslscan、nmap 等)或 Web 应用程序(例如来自 Qualys 或 COMODO)检查您的安装。
如果您通过上述分析发现您没有运行这些版本,您可以使用 Apache 网络服务器作为 HTTPS 端点,并使用 mod_proxy 将内容发送到 jetty。
如果上面是你的jetty SSL配置,我强烈建议你加固它!排除旧版 SSL 协议(protocol)(例如 SSLv2)和弱密码!正如其他人提到的那样,SSLv3 实际上也是遗留的,不再推荐使用。在你的位置,我会回到你的客户并检查他为什么想要运行 SSLv3。除非他不希望连接来自死掉的旧系统(例如带有 IE 的 Win XP),否则没有太多理由让 SSLv3 运行。但是,如果他不知道谁使用什么浏览器连接到他的页面,请查看日志。如果日志没有显示用于连接到应用程序的 Web 浏览器的指示,我强烈建议启用它,运行一段时间,然后再做出决定。
关于java - 如何让应用程序同时使用 SSL 和 TLS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29652308/