Page tree
Skip to end of metadata
Go to start of metadata

在此页:

目标用户:

CAST AI 管理员

简介:本页面说明如何修改Apache Tomcat Web应用服务器、Windows操作系统和Apache Web服务器,以禁用弱SSL密码套件,从而在使用HTTPS协议访问CAST Web应用时提高安全性。

简介

CAST web应用配置使用Tomcat的安全https协议中所述,可以配置Tomcat以便对CAST Web应用进行安全的https访问(CAST AIC门户/健康仪表盘/工程仪表盘)。Apache建议使用一个SSL连接器,默认情况下,这个连接器(无论是基于APR还是基于JSSE)将包括一个密码套件列表,客户端(即CAST web应用)可以在SSL握手阶段进行协商。但是这个密码套件列表包含不安全的弱出口级密码。因此,CAST建议实际指定要使用的密码套件,而不是依赖于默认值,默认设置包括许多可能对组织的安全造成风险的不安全密码。
此外,如果使用Windows操作系统和Apache Web服务器托管Tomcat web应用服务器,则还可禁用弱密码套件。

Apache Tomcat更改

CAST建议指定进行以下更改以禁用弱密码套件:

基于APR的SSL连接器

如果正在使用基于APR的SSL连接器,CAST建议指定以下密码套件:

HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH

可以使用SSLCipherSuite指令将这些密码套件添加到SSL连接器中(在下面的示例中连接器的末尾列出):

<Connector
	protocol="HTTP/1.1"	
	port="443"
	scheme="https"
	secure="true"
	SSLEnabled="true"
	clientAuth="false"
	SSLProtocol="SSLv3+TLSv1" 
	SSLCertificateFile="path/to/server.crt"
	SSLCertificateKeyFile="path/to/server.pem"/>
	SSLCipherSuite="HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH"
/>

在进行任何更改之后,保存%CATALINA_HOME%\conf\server.xml文件。然后重新启动应用服务器以便考虑到更改。

基于JSSE的SSL连接器

如果使用基于JSSE的SSL连接器,CAST建议指定以下密码套件:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA

可以使用cipher属性将这些密码套件添加到SSL连接器中(在下面的示例中连接器的末尾列出):

<Connector
	protocol="HTTP/1.1"	
	port="443"
	scheme="https"
	secure="true"
	SSLEnabled="true"
	clientAuth="false"
	SSLProtocol="TSL"
	keystoreFile="path/to/keystore"
	keystorePass="passwordOfKeystore"
	ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
	TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,
	TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,
	TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA"
/>

在进行任何更改之后,保存%CATALINA_HOME%\conf\server.xml文件。然后重新启动应用服务器以便考虑到更改。

在Windows操作系统中禁用弱SSL密码

可以重新配置主机Windows操作系统,以避免使用弱SSL密码套件。配置更改特定于OS:

禁用Apache服务器中的弱密码

可能希望重新配置Apache Web服务器(如果与Tomcat一起使用的话),以避免使用弱SSL密码套件。类似于上面给出的Tomcat指令,在httpd.confssl.conf文件中修改(或添加)SSLCipherSuite指令。

SSLCipherSuite="HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH"
  • No labels