在此页:
目标用户:
CAST AI 管理员
简介:本页面说明如何修改Apache Tomcat Web应用服务器、Windows操作系统和Apache Web服务器,以禁用弱SSL密码套件,从而在使用HTTPS协议访问CAST Web应用时提高安全性。
简介
如CAST web应用配置使用Tomcat的安全https协议中所述,可以配置Tomcat以便对CAST Web应用进行安全的https访问(CAST AIC门户/健康仪表盘/工程仪表盘)。Apache建议使用一个SSL连接器,默认情况下,这个连接器(无论是基于APR还是基于JSSE)将包括一个密码套件列表,客户端(即CAST web应用)可以在SSL握手阶段进行协商。但是这个密码套件列表包含不安全的弱出口级密码。因此,CAST建议实际指定要使用的密码套件,而不是依赖于默认值,默认设置包括许多可能对组织的安全造成风险的不安全密码。
此外,如果使用Windows操作系统和Apache Web服务器托管Tomcat web应用服务器,则还可禁用弱密码套件。
Apache Tomcat更改
CAST建议指定进行以下更改以禁用弱密码套件:
基于APR的SSL连接器
如果正在使用基于APR的SSL连接器,CAST建议指定以下密码套件:
HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH
可以使用SSLCipherSuite指令将这些密码套件添加到SSL连接器中(在下面的示例中连接器的末尾列出):
<Connector protocol="HTTP/1.1" port="443" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" SSLProtocol="SSLv3+TLSv1" SSLCertificateFile="path/to/server.crt" SSLCertificateKeyFile="path/to/server.pem"/> SSLCipherSuite="HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH" />
在进行任何更改之后,保存%CATALINA_HOME%\conf\server.xml文件。然后重新启动应用服务器以便考虑到更改。
基于JSSE的SSL连接器
如果使用基于JSSE的SSL连接器,CAST建议指定以下密码套件:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_RC4_128_SHA
可以使用cipher属性将这些密码套件添加到SSL连接器中(在下面的示例中连接器的末尾列出):
<Connector protocol="HTTP/1.1" port="443" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" SSLProtocol="TSL" keystoreFile="path/to/keystore" keystorePass="passwordOfKeystore" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA" />
在进行任何更改之后,保存%CATALINA_HOME%\conf\server.xml文件。然后重新启动应用服务器以便考虑到更改。
在Windows操作系统中禁用弱SSL密码
可以重新配置主机Windows操作系统,以避免使用弱SSL密码套件。配置更改特定于OS:
- 对于Microsoft Windows XP和Microsoft Windows Server 2003,请遵循以下说明:http://support.microsoft.com/kb/245030
- 对于所有其它CAST支持的操作系统,按照以下说明从支持的密码套件列表中删除已经识别为弱的密码套件:https://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx
禁用Apache服务器中的弱密码
可能希望重新配置Apache Web服务器(如果与Tomcat一起使用的话),以避免使用弱SSL密码套件。类似于上面给出的Tomcat指令,在httpd.conf或ssl.conf文件中修改(或添加)SSLCipherSuite指令。
SSLCipherSuite="HIGH:MEDIUM:!MD5!EXP:!NULL:!LOW:!ADH"