Wie zu beheben "ssl_error_no_cypher_overlap", die auf einem Tomcat 7 server?

Den neuesten Versionen von Chrome und Firefox haben SSLv3 deaktiviert.0 ist Standard, aufgrund der PUDEL-Verwundbarkeit. Dies führt zu der folgenden Fehlermeldung, wenn ich Versuch die zu öffnen eine Website, die ich eingerichtet habe (und die war in Ordnung arbeiten):

Mit Chrome: 

A secure connection cannot be established because this site uses an unsupported protocol.
Error code: ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Mit Firefox:

Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)

Ich habe recherchiert, dieses Problem mit Chrome, Firefox, Tomcat und mehr Tomcat-docs. Ich verstehe das problem, aber ich kann nicht finden Sie in der Dokumentation zur Konfiguration von Tomcat 7 verwenden Sie nur die TLS-Verschlüsselungen und Protokolle, die sind jetzt sicher. Ich bin mir nicht sicher, ob ich brauche, um eine neue zu erstellen cert/Schlüsselpaar, meine server.xml oder installieren Sie eine neue version von Tomcat, oder was. Ich bin mir auch nicht sicher welche Versionen von cipher - /- Protokoll verwenden, werden jetzt als "akzeptabel" durch diese Browser. Kann mir jemand zeigen Sie mir die Dokumentation oder ein Beispiel-setup für diese?

Ich bin mit OpenJDK 1.7 unter Ubuntu 14.04 mit Tomcat 7.

Hier mein cert Datei (redigiert):

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: something
Creation date: May 4, 2013
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=something, OU=something, O=something, L=something, ST=something, C=something
Issuer: CN=something, OU=something, O=something, L=something, ST=something, C=something
Serial number: ...
Valid from: Sat May 04 17:28:21 MST 2013 until: Tue May 02 17:28:21 MST 2023
Certificate fingerprints:
     MD5:  ...
     SHA1: ...
     SHA256: ...
     Signature algorithm name: SHA1withDSA
     Version: 3

Hier mein server.xml Eintrag für HTTPS-Unterstützung:

<Connector port="8484" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           keystoreFile="/path/mykeystore"  
           keystorePass="password"
           clientAuth="false" 
           sslProtocol="TLS"
           sslEnabledProtocols="TLS" />
InformationsquelleAutor user3120173 | 2015-04-04
  1. 0

    Müssen Sie zu erweitern sslEnabledProtocols zu gehören TLSv1 &ff, abhängig von Ihrer Java-version.

    Geben Sie Chiffren mit der - Chiffre - element des Steckers.

    Nichts zu tun mit dem Zertifikat.

    • Danke für deine Antwort - aber was sind die tatsächlichen Werte für jedes Feld, obwohl? Zum Beispiel, für sslEnabledProtocols ich habe versucht, "TLS", "TLSv1", "TLSv1.1", "TLSv1.2" und "TLSv1.1,TLSv1.2", jedoch ohne Erfolg. Ich bekomme keine Fehlermeldungen in der Tomcat-log, aber der browser(s) noch nicht anschließen.
    • Versuchen sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" wie beschrieben in wiki.apache.org/tomcat/Security/POODLE
    • Ich habe tatsächlich Wunde bis generieren ein neues selbst-signiertes Zertifikat und das problem gelöst. Ich habe keine Ahnung, warum der alte aufgehört zu arbeiten aber danke, ich werde markieren Sie Ihre Antwort korrigieren.
    • Mit demselben problem. Es wird nirgendwo erwähnt, hier DIE - Chiffre sollte ich erwähnen, in der Chiffren-Attribut. hinzufügen der sslEnabledProtocols Attribut allein (mit dem angegebenen Wert) nicht genug.
    InformationsquelleAutor user207421
  2. 16

    Ich hatte das problem bei einer neuen installation mit Tomcat 8.0.23 und Java 8 build 1.8.0_45. Ich entdeckte schließlich, dass ich versäumt hatte, geben die -keyalg RSA - option, wenn ich meine selbstsigniertes Zertifikat mit dem Java-keytool-Dienstprogramm. Ich löschte die alten Schlüssel speichern, und machte sicher, dass Sie diese option, wenn ich einen neuen keystore. Dass das problem behoben.

    • Danke. Ich wurde immer diese Fehlermeldung in chrome, bis ich fügte hinzu, die RSA-flag wie folgt Aussehen: keytool -genkey -alias tomcat -keypass localhost -keystore certificates.keystore -storepass localhost -keyalg RSA
    • Danke @MrZcxfph Ihr fix aktiviert mich, um TLS arbeitet auf Fedora 24 + Tomcat 8.0.36 + Java 1.8.0_111 nach einem halben Tag Frust
    • nachdem ich alles versucht, auf das internet für 1 Tag, das hat mir geholfen. Auch tnx @false_memories für das Beispiel-command
    • Danke. @false_memories +1 zum Beispiel
    InformationsquelleAutor MrZcxfph
  3. 3

    Den kompletten Tomcat server.xml Connector element:

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="conf/keystore.jks" keystorePass="changeit"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" />

    Dies funktioniert für mich, ich bin mit JRE1.7 und Tomcat7 server auch. Aber die Einstellung sslEnabledProtocols bei mir nicht funktioniert, hier mit sslProtocol="TLS" statt, und geben Sie die Verschlüsselung-Algorithmus explizit.

    InformationsquelleAutor Weidian Huang
Schreibe einen Kommentar