?

Log in

No account? Create an account

ru_java

ru.java

все о языке программирования java

Previous Entry Share
[SOLVED] Tomcat 9.0.17, JDK8/12 и ciphers.
ещё одна
dyasya wrote in ru_java
April 11th, 20:02
Всем привет.

Имеем tomcat 9.0.17, jdk8/12 и попытки настроить https на 8443 порту только с приемлемыми ciphers.
Вот такой вот коннектор:

    <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" SSLImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation" port="8443" maxthreads="150" minsparethreads="25" maxsparethreads="75" enablelookups="false" disableuploadtimeout="true" acceptcount="100" debug="0" scheme="https" secure="true" SSLEnabled="true">
        <SSLHostConfig protocols="TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384">
            <Certificate certificateKeyalias="server" certificateKeystoreFile="conf/server.jks" certificateKeystorePassword="keystore" />
        </SSLHostConfig>
    </Connector>


Кнопка "Шифры" в http://127.0.0.1:8080/manager/html/ выдаёт то, что и сконфигурено:

Connector[HTTP/1.1-8443]-_default_
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Но реально FireFox ругается словом SSL_ERROR_NO_CYPHER_OVERLAP, и nmap утверждает, что не видит каких-либо шифров:
PORT STATE SERVICE VERSION
40043/tcp open ssl/unknown

Я правильно понимаю, что копать надо куда-то в сторону crypto.policy=unlimited в java.security?
А может ещё куда-то?
Подскажите, плс.

Upd: решено. Причина была в server.jks - там использовался 
Signature algorithm name: SHA1withDSA
Subject Public Key Algorithm: 1024-bit DSA key

Как только заменили на 
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key

сразу всё заработало.
5 comments :
( 5 comments Leave a comment )
  • 1
vissarion
2019-04-12 09:17 pm (UTC)
Сертификат сам создавал?
(Reply) (Thread)
dyasya
2019-04-12 10:23 pm (UTC)
Он - наследство. Там DSA 1024 + SHA1.
(Reply) (Parent) (Thread)
dyasya
2019-04-16 01:29 pm (UTC)
Раскопали другие люди, проблема была в сертификате.
(Reply) (Parent) (Thread)
tos4
2019-04-16 11:01 am (UTC)
а что говорит openssl s_client?
(Reply) (Thread)
dyasya
2019-04-16 01:28 pm (UTC)
Раскопали другие люди, проблема была в сертификате.
(Reply) (Parent) (Thread)
( 5 comments Leave a comment )
  • 1
Links
Java Language Specification
Java Developers Almanac
Open Source Software in Java™
JUG.RU
Планетарий (The Planetarium на русском)
Tags
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Categories
, , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Поиск по сообществу
Яндекс


Правила публикации вакансий



  • Вакансии, публикуемые в сообществе, должны быть только на те позиции, где используется Java-технологии. Публикация вакансии с явным отклонением от темы Java-технологий приведёт к нажатию на кнопку «Удалить и пометить как спам».
  • Текст вакансии или рекламы должен быть оформлен тегом lj-cut. Обычно мы просим автора вакансии убрать вакансию под кат, если это не так. В случае отсутствия реакции в течение часа вакансия будет удалена кнопкой «Удалить и пометить как спам».
  • Если вы хотите опубликовать сразу несколько вакансий, оформляйте все вакансии в одной публикации, а не создавайте под каждую вакансию свою отдельную публикацию. Все "лишние" и повторные публикации будут удалены кнопкой «Удалить и пометить как спам».
  • Если вы публикуете вакансию, пожалуйста, указывайте город, в котором она открыта. Публикация вакансии без указания города в 100% случаев гарантирует вам кучу комментариев в почте с вопросом «какой город?».
  • Вакансии с указанием ограничений по возрасту, полу, семейному положению, национальности, вероисповеданию будут удаляться без предупреждения.
  • Вакансии с отключенными комментариями удаляются кнопкой «Удалить и пометить как спам».
Powered by LiveJournal.com