如何让应用程序同时使用 SSL 和 TLS
How can I make application use both SSL and TLS
我们的 java 应用程序目前使用 SSL 在使用 https 的客户端和服务器之间进行通信。客户询问是否可以升级到 TLS,以及他们是否可以在不同位置同时使用 TLS 和 SSL。我无法清楚地了解如何回答他们的问题或如何进行。
jetty-ssl.xml文件如下:
<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/configure.dtd">
<!-- =============================================================== -->
<!-- Configure SSL for the Jetty Server -->
<!-- this configuration file should be used in combination with -->
<!-- other configuration files. e.g. -->
<!-- java -jar start.jar etc/jetty.xml etc/jetty-ssl.xml -->
<!-- =============================================================== -->
<Configure id="Server" class="org.mortbay.jetty.Server">
<Call name="addConnector">
<Arg>
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="handshakeTimeout">2000</Set>
<Set name="keystore">/xservices-config/keystore</Set>
<Set name="password">password</Set>
<Set name="keyPassword">password</Set>
<Set name="truststore">/keystore</Set>
<Set name="trustPassword">password</Set>
<Set name="handshakeTimeout">2000</Set>
<!-- Set name="ThreadPool">
<New class="org.mortbay.thread.BoundedThreadPool">
<Set name="minThreads">10</Set>
<Set name="maxThreads">250</Set>
</New>
</Set -->
</New>
</Arg>
</Call>
</Configure>
请告诉我如何实现它。
您确定需要"enable"吗?我刚刚回到码头文档并想,只要你不排除协议,你就允许它们全部。使用本地工具(sslscan、nmap 等)或 Web 应用程序(例如来自 Qualys 或 COMODO)检查您的安装。
如果您通过上述分析发现您没有 运行ning 版本,您可以使用 Apache 网络服务器作为 HTTPS 端点并将 mod_proxy 内容发送到码头。
如果以上是你jetty的SSL配置,强烈建议你加固一下!排除旧版 SSL 协议(例如 SSLv2)和弱密码!正如其他人提到的那样,SSLv3 实际上也是遗留的,不再推荐使用。在你的位置,我会回到你的客户并检查他为什么想要 SSLv3 运行ning。除非他不希望连接来自死掉的旧系统(例如带有 IE 的 Win XP),否则没有太多理由使用 SSLv3 运行ning。但是,如果他不知道谁使用什么浏览器连接到他的页面,请查看日志。如果日志没有显示用于连接到应用程序的 Web 浏览器的指示,我强烈建议启用它,运行 一段时间然后再做出决定。
我们的 java 应用程序目前使用 SSL 在使用 https 的客户端和服务器之间进行通信。客户询问是否可以升级到 TLS,以及他们是否可以在不同位置同时使用 TLS 和 SSL。我无法清楚地了解如何回答他们的问题或如何进行。
jetty-ssl.xml文件如下:
<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/configure.dtd">
<!-- =============================================================== -->
<!-- Configure SSL for the Jetty Server -->
<!-- this configuration file should be used in combination with -->
<!-- other configuration files. e.g. -->
<!-- java -jar start.jar etc/jetty.xml etc/jetty-ssl.xml -->
<!-- =============================================================== -->
<Configure id="Server" class="org.mortbay.jetty.Server">
<Call name="addConnector">
<Arg>
<New class="org.mortbay.jetty.security.SslSocketConnector">
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="handshakeTimeout">2000</Set>
<Set name="keystore">/xservices-config/keystore</Set>
<Set name="password">password</Set>
<Set name="keyPassword">password</Set>
<Set name="truststore">/keystore</Set>
<Set name="trustPassword">password</Set>
<Set name="handshakeTimeout">2000</Set>
<!-- Set name="ThreadPool">
<New class="org.mortbay.thread.BoundedThreadPool">
<Set name="minThreads">10</Set>
<Set name="maxThreads">250</Set>
</New>
</Set -->
</New>
</Arg>
</Call>
</Configure>
请告诉我如何实现它。
您确定需要"enable"吗?我刚刚回到码头文档并想,只要你不排除协议,你就允许它们全部。使用本地工具(sslscan、nmap 等)或 Web 应用程序(例如来自 Qualys 或 COMODO)检查您的安装。
如果您通过上述分析发现您没有 运行ning 版本,您可以使用 Apache 网络服务器作为 HTTPS 端点并将 mod_proxy 内容发送到码头。
如果以上是你jetty的SSL配置,强烈建议你加固一下!排除旧版 SSL 协议(例如 SSLv2)和弱密码!正如其他人提到的那样,SSLv3 实际上也是遗留的,不再推荐使用。在你的位置,我会回到你的客户并检查他为什么想要 SSLv3 运行ning。除非他不希望连接来自死掉的旧系统(例如带有 IE 的 Win XP),否则没有太多理由使用 SSLv3 运行ning。但是,如果他不知道谁使用什么浏览器连接到他的页面,请查看日志。如果日志没有显示用于连接到应用程序的 Web 浏览器的指示,我强烈建议启用它,运行 一段时间然后再做出决定。