java-8 - 更新 Fuse 以获得 TLS v1.3
问题描述
我是 JBoss Fuse 服务器的新手。我们使用的 Fuse 服务器版本是 7.2。根据位置undertow.xml文件${karaf.home}/etc,我们目前支持TLSv1,TLSv1.1和TLSv1.2. 要求也是添加更高版本(TLSv1.3在本例中)。我想检查其先决条件和可行性方面。
另外,我无法确定 Fuse 7.2 是否支持TLSv1.3。
我们正在使用 Java 8。
非常感谢任何可以引导我的信息/方向。
解决方案
您可以在此位置查看安全指南。
首先,您必须启用安全侦听器。您在两个文件中执行此操作:
etc/org.ops4j.pax.web.cfg,您需要两个新属性(根据OSGi CMPN Http Service 规范):
org.osgi.service.http.port.secure = 8443
org.osgi.service.http.secure.enabled = true
您当然需要一个密钥库/信任库(可以是相同的或单独的)。例如将其复制到etc/server.keystore.
最后,您需要更改etc/undertow.xml.
- 取消注释 https-listener:
<https-listener name="https" socket-binding="https"
security-realm="https" verify-client="NOT_REQUESTED" />
- 确保密钥库的正确位置/凭据:
<w:keystore path="${karaf.etc}/server.keystore" provider="JKS" alias="server"
keystore-password="secret" key-password="secret"
- 确保信任库的位置/凭据正确(可以是同一个文件):
<w:truststore path="${karaf.etc}/server.truststore" provider="JKS"
keystore-password="secret" />
- 确保
secure未注释该接口:
<interface name="secure">
<w:inet-address value="0.0.0.0" />
</interface>
- 取消注释安全套接字绑定:
<socket-binding name="https" interface="secure"
port="${org.osgi.service.http.port.secure}" />
现在,当您重新启动 Fuse 7.2 时,您将在端口 8443 上拥有安全侦听器。
然而还有一件事。Undertow TLS 引擎配置是(默认情况下):
<w:engine
enabled-cipher-suites="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
enabled-protocols="TLSv1 TLSv1.1 TLSv1.2" />
然而 TLS_ECDHE_* 套件对于 TLS 1.2 来说很强大,并且不一定被某些客户端(浏览器)支持(组合)。您已经可以使用以下方法连接到此类 Fuse 实例:
$ openssl s_client -connect 127.0.0.1:8443 -debug -tls1_2 -ciphersuites TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
CONNECTED(00000003)
...
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1691 bytes and written 386 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
...
您现在不能使用 TLS 1.3:
$ openssl s_client -connect 127.0.0.1:8443 -tls1_3 -debug
CONNECTED(00000003)
write to 0x562ac4785740 [0x562ac479cb90] (215 bytes => 215 (0xD7))
0000 - 16 03 01 00 d2 01 00 00-ce 03 03 12 4c a3 cb de ............L...
0010 - 46 95 45 07 5b 86 05 d0-69 20 3c e2 70 9f 0f 99 F.E.[...i <.p...
...
New, (NONE), Cipher is (NONE)
...
首先,您必须更改引擎中启用的协议 ( etc/undertow.xml):
enabled-protocols="TLSv1.3"
但如果你添加(到etc/system.properties):
javax.net.debug=all
你会看到类似的东西:
javax.net.ssl|FINE|6F|XNIO-4 I/O-8|2021-03-17 07:46:46.011 CET|Logger.java:765|Ignore unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 for TLS13
javax.net.ssl|FINE|6F|XNIO-4 I/O-8|2021-03-17 07:46:46.011 CET|Logger.java:765|Ignore unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 for TLS13
所以看起来剩下的事情是为 TLS 1.3 找到合适的密码套件。此类套件之一是TLS_AES_256_GCM_SHA384,因此,如果您使用:
enabled-cipher-suites="TLS_AES_256_GCM_SHA384"
您将成功连接 - 使用浏览器和 openssl:
$ openssl s_client -connect 127.0.0.1:8443 -tls1_3 -ciphersuites TLS_AES_256_GCM_SHA384
CONNECTED(00000003)
...
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1906 bytes and written 640 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
...
Post-Handshake New Session Ticket arrived:
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
...
还有一件事。您必须使用支持 TLS 1.3 的 JDK 8,即:
- 至少 Oracle JDK 1.8.0_261
- 至少 OpenJDK 8u272
推荐阅读
- typescript - 如何获取函数参数类型
- php - Laravel smlink 未找到
- shader - 如何将自定义片段着色器应用于 MapBox GL JS 上的光栅图块?
- reactjs - 反应;并行异步/等待获取数据,但在 setState() 中未定义
- function - Dart Functions as First Class Objects
- mysql - 如何使用 sql 查询获取每个 invoice_no 日期的总持续时间(秒)的结果?
- java - 数据流将 {array,int} 馈入 json 对象
- javascript - 前端敏感信息
- swift - 将 EnvronmentObject 传递给 NSHostingControllers
- lua - 是否可以从 C 向 Lua 中的表添加元方法?