Tomcat 6 ERR_SSL_VERSION_OR_CIPHER_MISMATCH / ssl_error_no_cypher_overlap
Ich habe Mühe, einen browser verwenden, für den Zugriff auf meine SSL/TLS aktiviert tomcat-6.0.36-windows-x64-server. Es funktioniert mit der openssl-aber nicht mit jedem browser.
Initialisierung sieht gut aus:
16.01.2013 16:45:09 org.apache.coyote.http11.Http11AprProtocol init
INFO: Initializing Coyote HTTP/1.1 on http-8443
Auch openSSL:
openssl s_client -tls1 -connect localhost:8443:
Ergebnis:
New, TLSv1/SSLv3, Cipher is ECDH-ECDSA-AES256-SHA
Server public key is 256 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : ECDH-ECDSA-AES256-SHA
Nur die web-Browser nicht funktionieren:
Firefox 15.0.1 sagt: ssl_error_no_cypher_overlap
Chrome 24.0.1312.52 m: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Dass der tomcat-Konfiguration:
Connector port="8443" maxHttpHeaderSize="8192"
protocol="org.apache.coyote.http11.Http11AprProtocol"
maxThreads="150"
scheme="https"
secure="true"
SSLProtocol="all"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
SSLEnabled="true"
SSLCertificateFile="../ecc_servercert.crt"
SSLCertificateKeyFile="../ec_serverkey.pem"
Das Zertifikat basiert auf einer eliptischen Kurven Algorithmus:
openssl ecparam -out c:\ecc\ec_serverkey.pem -name secp256k1 -genkey
openssl req -new -x509 -nodes -days 365 -key c:\ecc\ec_serverkey.pem -out c:\ecc\ecc_servercert.crt
Hoffe jemand hat eine Idee? Accourding nach Stunden des Suchens, der Browser soll die Unterstützung dieser configuariton ...
Ragards, Tobi
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich denke, es gibt zwei Möglichkeiten:
Entweder Sie nutzen die APR-Anschluss und Tomcat-native-libraries als gut, so wird es werfen Sie den Fehler.(mehr info:http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html#Edit_the_Tomcat_Configuration_File)
Oder Sie verwenden den gleichen port für http & https: im Stecker, die Sie verwenden, 8443, das ist in der Regel verwendet für http.(haben Sie versucht, o port="443" nicht "8443"?)
ashiii ist falsch, es ist, weil der ecc-Kurve
secp256k1
wird nicht unterstützt in chrome oder firefox.prime256v1
undsecp384r1
sind gute alternativen. sehen http://security.stackexchange.com/questions/78621/which-elliptic-curve-should-i-use