1. घर
  2. सवाल और जवाब
  3. जीएफ 3 (जेडीके 6) अप्रचलित क्रिप्टोग्राफी को हटाने के लिए सुरक्षा प्रोटोकॉल को कॉन्फ़िगर कैसे करें

जीएफ 3 (जेडीके 6) अप्रचलित क्रिप्टोग्राफी को हटाने के लिए सुरक्षा प्रोटोकॉल को कॉन्फ़िगर कैसे करें

2015-07-10 8 views
6

कंपनी जो मैं काम करता हूं हमारे पास सीएएस के साथ एक सर्वर जीएफ 3.1.1 (जेडीके 6) है जो किसी अन्य सिस्टम में उपयोगकर्ताओं का प्रमाणीकरण करता है। फ़ायरफ़ॉक्स (v। 39x) के अंतिम अद्यतन के बाद हम ब्राउज़र से जानकारी का पालन हो रही है:जीएफ 3 (जेडीके 6) अप्रचलित क्रिप्टोग्राफी को हटाने के लिए सुरक्षा प्रोटोकॉल को कॉन्फ़िगर कैसे करें

mydomain.com एसएसएल सर्वर कुंजी विनिमय हैंडशेक संदेश में एक कमजोर अल्पकालिक Diffie-Hellman कुंजी प्राप्त किया।

और this workaround के बिना साइट का उपयोग करना या किसी अन्य ब्राउज़र का उपयोग करना संभव नहीं है। क्रोम में मैं सामान्य रूप से उपयोग कर सकते हैं लेकिन अगर मैं कनेक्शन गुण को देखो यह कहते हैं:

आपका कनेक्शन अप्रचलित क्रिप्टोग्राफी द्वारा एन्क्रिप्ट किया गया है।

कनेक्शन टीएलएस 1.0 का उपयोग करता है।

कनेक्शन AES_128_CBC का उपयोग करके एन्क्रिप्टेड किया गया है, संदेश प्रमाणीकरण के लिए SHA1 के साथ कुंजी विनिमय तंत्र के रूप में DHE_RSA।

मैं अपने ग्राहकों के सभी ब्राउज़रों को कॉन्फ़िगर नहीं कर सकता या कह सकता हूं कि वे केवल क्रोम का उपयोग करें। शायद भविष्य में क्रोम एक ही कर सकता है। तो मेरा समाधान सर्वर को ठीक से कॉन्फ़िगर कर रहा है। समस्या यह है कि मुझे नहीं पता कि मैं यह कैसे कर सकता हूं।

मैं GF जहाँ मैं विन्यास में विन्यास कर सकते हैं में पाया> सर्वर-config> नेटवर्क कॉन्फिग> प्रोटोकॉल> http-listner -2> एसएसएल

तब मैं here एक काली सूची मिल गया है और कुछ सिफर के एक श्वेत सूची है कि उपयोग करने के लिए अनुशंसित हैं। मैंने सभी को काले रंग में हटाने की कोशिश की और उन सभी को सफेद में डाल दिया। लेकिन मुझे अभी भी समस्या है। मुझे लगता है कि यह सूची पुरानी हो सकती है।

मैं किसी भी मदद की सराहना करता हूं।

स्रोत

2015-07-10 Sertage

+0

तो आप क्या पूछ रहे हैं? सिफर की एक अद्यतित सूची के लिए? – Fildor

+0

अधिक या कम। जैसा कि मैंने समझा है मुझे टीएलएस 1.0 के संस्करण को 1.1 या 1.2 बेहतर करना है और अनुशंसित सिफर (एक अद्यतित सूची) का उपयोग करना है। जीएफ में सिफर की एक सूची है जो मैं चुनता हूं जिसे मैं उपयोग करना चाहता हूं, लेकिन मुझे नहीं पता कि मुझे सिफर सेट करने के दौरान क्या करना है जो वहां सूचीबद्ध नहीं है। – Sertage

+0

वास्तव में ग्लासफ़िश पर क्रोम बार्फ़ भी। लेकिन नीचे समाधान देखें। –

उत्तर

9

अंत में। मुझे एक समाधान मिला। मैं बहुत कुछ खोजता हूं और मुझे एक समाधान मिल सकता है, इसलिए मैंने एक सिफर में से एक का परीक्षण करने की कोशिश की। तो, काम करने के लिए (मैं यह नहीं कह रहा कि यह सही तरीका है)। पर

: मैं यह करने के लिए किया था

विन्यास> सर्वर-config> नेटवर्क कॉन्फिग> प्रोटोकॉल> http-listner -2> एसएसएल

  1. सभी सिफर उपलब्ध
    2. जोड़े
  2. निकालें सभी Diffie-Hellman सिफर
  3. सहेजें

उसके बाद हमारे आवेदन को किसी भी ब्राउज़र पर फिर से खोला जा सकता है। मुझे उम्मीद है कि यह किसी की मदद कर सकता है।

व्यवस्थापक के लिए:

विन्यास> सर्वर-config> सेवा HTTP> श्रोताओं HTTP> व्यवस्थापक-listner> एसएसएल

  1. सभी सिफर उपलब्ध जोड़े
  2. निकालें सभी Diffie -हेलमैन सिफर
  4. पुनरारंभ करें

संपादित करें:whitelist here शेष सिफर है कि एक नए श्वेत सूची का हिस्सा होगा साथ तुलना कर रहे हैं:

श्वेतसूची

  1. TLS_RSA_WITH_AES_128_CBC_SHA
  2. SSL_RSA_WITH_3DES_EDE_CBC_SHA

स्रोत

2015-07-11 13:45:50 Sertage

1

धन्यवाद, सर्टेज, जो काम किया!

हालांकि, व्यवस्थापक पोर्ट (आमतौर पर 4848) के लिए प्रोटोकॉल को ठीक करना भी आवश्यक है। (यह निश्चित रूप से, HTTPS का भी उपयोग करना चाहिए!)

लेकिन, जीएफ 3.1.2.2 में, प्रोटोकॉल 'व्यवस्थापक-श्रोता' प्रोटोकॉल 'सेक-एडमिन-श्रोता' को इंगित करता है, और यह कि एक 'एसएसएल' टैब नहीं है। एसएसएल पैरामीटर को प्रोटोकॉल 'एडमिन-श्रोता' परिणाम को एक त्रुटि संदेश में बदलते हुए कहते हुए, 'परिवर्तन लागू नहीं कर सका। Configs.config.server-config.network-config.protocols.protocol.admin-listener.ssl 'के लिए कोई कॉन्फ़िगरेशन नहीं मिला। व्यवस्थापक पोर्ट को कॉन्फ़िगर करने के तरीके पर कोई सुझाव?

स्रोत

2015-07-14 10:22:00

+0

यह जानना अच्छा है कि मैं किसी की मदद कर सकता हूं। जैसा कि, हमारी कंपनी में, हमारे पास केवल आंतरिक नेटवर्क द्वारा सर्वर तक पहुंच है, व्यवस्थापक प्रोटोकॉल अक्षम है। लेकिन आप सही हैं, यह भी सुरक्षित होना चाहिए। मैं यह देखने की कोशिश करूंगा कि मैं कुछ समझ सकता हूं या नहीं। – Sertage

+2

@PerLindberg सबसे पहले सर्टेज द्वारा वर्णित लाइनों के साथ एक और प्रोटोकॉल बदलें। तो मुझे लगता है कि आप domain.xml फ़ाइल को संपादित करके परिवर्तन को सेक-एडमिन-श्रोता प्रोटोकॉल में कॉपी कर सकते हैं। आपके द्वारा परिवर्तित प्रोटोकॉल तत्व में एसएसएल तत्व से एसएसएल 3-टीएलएस-सिफर गुणों की प्रतिलिपि बनाएँ और इसे सेक-एडमिन-श्रोता प्रोटोकॉल में एसएसएल तत्व में जोड़ें। अपनी कॉन्फ़िगरेशन निर्देशिका बैकअप करना सुनिश्चित करें। – mikeatv

+0

धन्यवाद, यह काम किया! <प्रोटोकॉल नाम = "http-listener-2"> से <प्रोटोकॉल नाम = "sec-admin-listener"> पर XML विशेषता एसएसएल 3-टीएलएस-सिफर की प्रतिलिपि बनाएँ। –

2

मुझे क्रोम और व्यवस्थापक कंसोल के साथ ही इस समस्या का सामना करना पड़ा। जिस तरह से मैं इसके आसपास आया, श्रोता के लिए वर्तमान एसएसएल प्रमाण पत्र को हटाना था और --ssl3tlsciphers विकल्प के साथ सिफर के एक विशिष्ट सेट का उपयोग करके इसे फिर से बनाना था।

asadmin create-ssl --type http-listener --certname s1as --ssl3tlsciphers SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,SSL_RSA_EXPORT_WITH_RC4_40_MD5,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSV,SSL_RSA_WITH_NULL_MD5,SSL_RSA_WITH_NULL_SHA,SSL_DH_anon_WITH_RC4_128_MD5,TLS_DH_anon_WITH_AES_128_CBC_SHA,SSL_DH_anon_WITH_3DES_EDE_CBC_SHA,SSL_DH_anon_WITH_DES_CBC_SHA,SSL_DH_anon_EXPORT_WITH_RC4_40_MD5,SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA admin-listener

मैंने देखा है कि बस डिफ़ॉल्ट प्रमाणपत्र को हटाने नहीं करता है ':

asadmin delete-ssl --type http-listener admin-listener

तो मैं यह निम्न आदेश का प्रयोग करते हुए: मेरे लिए यह व्यवस्थापक-श्रोता इसलिए पहले मैं वर्तमान डिफ़ॉल्ट प्रमाणपत्र को नष्ट कर दिया था डोमेन.xml फ़ाइल में सभी संदर्भों को हटा दें। मैं ऐसा करने का सही तरीका नहीं ढूंढ पाया। मैंने अभी परीक्षण और त्रुटि का उपयोग किया। एक अन्य विधि domain.xml फ़ाइल जहां श्रोता के लिए ssl तत्व परिभाषित किया गया है को संशोधित करने और विशेषता "SSL3-TLS-सिफर" जोड़ने के लिए है:

<ssl ssl3-tls-ciphers="SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,SSL_RSA_EXPORT_WITH_RC4_40_MD5,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSV,SSL_RSA_WITH_NULL_MD5,SSL_RSA_WITH_NULL_SHA,SSL_DH_anon_WITH_RC4_128_MD5,TLS_DH_anon_WITH_AES_128_CBC_SHA,SSL_DH_anon_WITH_3DES_EDE_CBC_SHA,SSL_DH_anon_WITH_DES_CBC_SHA,SSL_DH_anon_EXPORT_WITH_RC4_40_MD5,SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA" classname="com.sun.enterprise.security.ssl.GlassfishSSLImpl" cert-nickname="s1as"></ssl>

दोनों ही तरीकों से glassfish का पुन: प्रारंभ करने की आवश्यकता है।

स्रोत

2015-12-14 18:33:27

संबंधित मुद्दे

 संबंधित मुद्दे