bouncyCastle 是否提供 TLS 功能?
Does bouncyCastle provide TLS capability?
我觉得我应该解释一下为什么我要实施这个看似糟糕的解决方案....
我是一名系统管理员,而不是 java 程序员,并且在 Tomcat 中继承了 运行ning Java 1.7 的大量不同的应用程序。
虽然我很想升级这些,但这需要开发团队的时间和合作。我最大的担忧(相当局部)是从网络中删除 SSLv3、TLS/1.0 和 TLS/1.1。传入连接的 SSL 终止由代理处理,因此我可以(原则上)停止暴露那里服务中的漏洞,但是这将破坏组件之间的集成 运行ning 在单独的 JVM 中并通过 HTTPS 进行通信(例如 CAS 身份验证).
(是的,我可以 运行 分离 internal/external 代理或使用绕过代理的直接寻址....但这似乎更像是一个 hack)
这让我想到了我的问题....
BouncyCastle 只提供密码套件还是提供 TLS?
如果我安装 bouncycastle as a provider,这些较旧的 java 应用程序是否能够使用 TLS/1.2 发出 HTTPS 客户端请求,或者是否需要进一步更改代码?
BouncyCastle 提供程序将允许您使用 jvm 不支持的密码。但是,根据您的 jvm 版本,可能不支持 tls 1.2 协议。看来java7应该可以支持
无论哪种方式,要强制使用 tls1.2,您都需要进一步配置,但不一定需要更改代码。您的服务器必须配置为独占使用它(配置可能是特定于供应商的)。您的客户端也可以配置为仅使用 tls1.2(例如使用 -Dhttps.protocols)。
有关详细信息,请参阅 https://blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https。
我觉得我应该解释一下为什么我要实施这个看似糟糕的解决方案....
我是一名系统管理员,而不是 java 程序员,并且在 Tomcat 中继承了 运行ning Java 1.7 的大量不同的应用程序。
虽然我很想升级这些,但这需要开发团队的时间和合作。我最大的担忧(相当局部)是从网络中删除 SSLv3、TLS/1.0 和 TLS/1.1。传入连接的 SSL 终止由代理处理,因此我可以(原则上)停止暴露那里服务中的漏洞,但是这将破坏组件之间的集成 运行ning 在单独的 JVM 中并通过 HTTPS 进行通信(例如 CAS 身份验证).
(是的,我可以 运行 分离 internal/external 代理或使用绕过代理的直接寻址....但这似乎更像是一个 hack)
这让我想到了我的问题....
BouncyCastle 只提供密码套件还是提供 TLS?
如果我安装 bouncycastle as a provider,这些较旧的 java 应用程序是否能够使用 TLS/1.2 发出 HTTPS 客户端请求,或者是否需要进一步更改代码?
BouncyCastle 提供程序将允许您使用 jvm 不支持的密码。但是,根据您的 jvm 版本,可能不支持 tls 1.2 协议。看来java7应该可以支持
无论哪种方式,要强制使用 tls1.2,您都需要进一步配置,但不一定需要更改代码。您的服务器必须配置为独占使用它(配置可能是特定于供应商的)。您的客户端也可以配置为仅使用 tls1.2(例如使用 -Dhttps.protocols)。
有关详细信息,请参阅 https://blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https。