ACHTUNG: Keine der angegebenen Chiffren wird von der SSL-Engine unterstützt.

tag-icon tag-icon ssl tomcat tls tomcat7
ACHTUNG: Keine der angegebenen Chiffren wird von der SSL-Engine unterstützt.

Ich habe einen funktionierenden Webdienst Apache Tomcat 7mit dem folgenden Verbindungselement in laufen server.xml:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
 SSLEnabled="true" 
 maxThreads="150"
 scheme="https" 
 secure="true" 
 clientAuth="false"  
 keystoreFile="C:\Java\myhost.keystore" 
 keystorePass="importkey" 
 sslProtocol="TLS"
/>

Das hat jahrelang gut funktioniert, aber jetzt ist eine neue LogjamSicherheitsbedrohung aufgetaucht, und ich versuche, meinen Webdienst zu sichern, indem ich denLeitfaden zur Bereitstellung von Diffie-Hellman für TLSAnweisungen.

Daher habe ich dem <connector>Element die folgende Zeile hinzugefügt:

Chiffren="ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384, DHE-RSA-AES128-GCM-SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384, AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMELLIA, DES-CBC3-SHA"

Tomcat wird problemlos neu gestartet, aber ich kann keine Verbindung mehr zu meinem Webdienst herstellen.

Beim Untersuchen des Protokolls fiel mir diese Zeile auf:

ACHTUNG: Keine der angegebenen Chiffren wird von der SSL-Engine unterstützt: ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384, DHE-RSA-AES128-GCM-SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384, AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMELLIA, DES-CBC3-SHA

Was übersehe ich beim Versuch, Tomcat dazu zu bringen, nur diese Chiffren zu verwenden?

Wie erreiche ich, dass sie von der SSL-Engine unterstützt werden?

Antwort1

Wie erklärtHierMöglicherweise müssen Sie die ciphersListe folgendermaßen einrichten:

sslProtocols = "TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_25‌​6_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

Der erste Teil, ECDHE, gibt an, welcher Schlüsselaustauschalgorithmus verwendet werden soll. [...]

Als nächstes kommt der Authentifizierungsalgorithmus RSA. [...]

Die Massenchiffre AES128-GCM ist der wichtigste Verschlüsselungsalgorithmus und wird zur Verschlüsselung des gesamten Datenverkehrs verwendet. [...]

Der letzte Teil, SHA256, identifiziert den verwendeten Message Digest, der die Authentizität der Nachrichten überprüft.

verwandte Informationen