为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验

最新推荐文章于 2024-09-17 23:24:35 发布
最新推荐文章于 2024-09-17 23:24:35 发布
阅读量1.3w 收藏 6
点赞数 1
分类专栏: 安全防御 文章标签: ats tomcat ats 苹果ats检测 tomcat完全正向加密 tomcat tls v1.2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/defonds/article/details/54346343
版权
本文介绍了如何将Tomcat强制配置为完全支持TLS v1.2,包括SSL证书迁移、JVM和Tomcat配置,并通过启动验证和openssl工具进行检测。同时,详细讲解了实现完全正向加密的步骤,提供了相关检测工具和参考资料。
摘要由CSDN通过智能技术生成
2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。
笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在 tomcat 这层做,可以参考本文的做法。
首先声明,tomcat 7 以后能够通过 JSSE 支持 TLSv1、TLSv1.1、TLSv1.2。也能支持 ATS 所要求的那些正向签字算法,但是 ATS 要求只能支持这些正向签字算法,一些安全级别较弱的算法不能够支持,也就是完全正向加密。总之,本文要做的事情就是禁用 TLSv1、TLSv1.1,禁用非正向加密的弱签字算法。

1. Tomcat 强制完全 TLS v1.2

JDK 1.7 以上的 JSSE 才能支持到 TLS v1.2。

1.1. ssl 证书迁移到 tomcat

1.1.1. 联系证书颁发公司,转换为 jks 后缀格式

对方技术支持会返回 keystore.jks 证书文件及其密码证书密码。

1.1.2. 将证书文件放在 %tomcat%/conf/ 目录

1.1.3. 证书 tomcat 配置

将 %tomcat%/conf/server.xml 中的以下注释部分取消注释: 
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

然后向该 Connector 标签添加证书相关参数:
keystoreFile="conf/keystore.jks
最低0.47元/天 解锁文章
Defonds
关注
专栏目录
验证tomcat web server 的SSL 版本
shenghuiping2001的专栏
09-01 762
最近audit 查的比较多,要对tomcat 网页的TLS 版本进行升级,这就需要先看看自己的server 是否符合要求:1:有些server 外网不能访问,这种情况就可以用localhost 来代替: 当然还有一种方法就是:有网页生产的时候: ctrl + shift + i ,然后找到 network, connection 标签。 hssg@xx:/$ curl -v https://localhost:8443 * Rebuilt URL to: https://localhost:8443/.
HTTPS安全认证在Tomcat中的配置方法与图解
福建开源社区创始人www.fjkysq.com
04-21 1589
这篇博客上个月就写了,只是当初没有上传操作图片,只有一些文字,让不少朋友看了云里雾里,这次重新更新,加了自己的操作视图,方便大家理解。本篇写的是HTTPS在Tomcat中的配置方法;至于HTTPS安全认证的原理,大家可以上网查看去理解;学习建议:大家可以使用面向对象的方式去理解握手协议,单向认证与双向认证的原理。(这篇本人使用了图解方式讲解,写一下就上传一张图片,我也是醉了,望对大家有所帮助)
加密与安全_HTTPS TLS 1.2 连接(RSA 握手)的整个过程解读
最新发布
小工匠
09-17 1988
数字证书是由可信的证书颁发机构(CA)签发的,它包含服务器的公钥和身份信息。客户端通过验证服务器提供的证书,确保其通信对象是合法的服务器,而非冒充的中间人。证书的真实性由CA的签名保证,防止伪造和冒充。这个流程确保客户端和服务器之间的通信是安全的,并且数据传输过程中不会被篡改或监听。接下来,客户端和服务端的所有通信都是加密通信,并且数据通过签名确保无法篡改。从服务端拿到的 CA 证书是用户证书,需要通过证书中的签发人信息找到上级中间证书,再往上找到根证书。最后再拿到中间证书的公钥,验证用户证书的签名。
tomcat7 配置SSL 支持TLS1.2
热门推荐
yjg428的专栏
04-09 1万+
安装证书Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。文件说明:1. 证书文件xxx.pem,包含两段内容,请不要删除任何一段内容。2. 如果是证书系统创建的CSR,还包含:证书私钥文件XXX.key、PFX格式证书文件XXX.pfx、PFX格式证书密码文件pfx-password.txt。1、证书格式转换在Tomcat的安装目录下创建cert目录...
给网站添加HTTPS(添加SSSL证书)
sxdcfb的博客
05-23 9845
给网站添加HTTPS(添加SSSL证书) 一、HTTP和HTTPS的区别 点击查看区别 二、如何给你的网站添加SL证书 这里我以阿里云举例子,请确保你的网站已经备案并且可以访问http://你的域名 1.打开阿里云域名控制面板并点击管理 2.点击免费申请SSL证书 3.点击免费证书 并填写你要颁发的域名 4.在证书面板里面找到你刚申请的证书 并根据提示完成审核然后下载SSL证书 5.使...
tomcat8.5配置 TLSv1.2协议
weixin_35052117的博客
09-23 2573
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="conf/SHA256withRSA__.gxzs.co.jks" keystorePass="****" clientAuth="false" sslProtocol="TLSv1.2" sslEnabled
SSL/TLS 检测工具以及 tomcat 正向加密配置例子
01-12
本资源包含一个 openssl 工具安装包 Win32OpenSSL-1_1_0c.exe,一个 tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的 server.xml、startup.bat 配置文件。关于tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的具体步骤可以参考博客《为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验》,地址:http://blog.csdn.net/defonds/article/details/54346343。
ATS2823 Datasheet V1.2_20151024.pdf
08-20
双模蓝牙芯片数据手册 Low Power Solution for portable & wireless audio applications Bluetooth V4.2 104MHz MIPS32 + 180M CEVA DSP
TLS1.3---数据加密和完整性保护
qq_35324057的博客
05-10 5255
AEAD(authenticated encryption with associated data) 在TLS1.3中,只保留了一种加密和保护完整性的方法就是AEAD(具有关联数据的加密认证) 定义 关联数据的认证加密,顾名思义,除可提供对密文数据的隐私、完整性和真实性保证外,还可提供对未加密的关联数据的完整性保证。常用的关联数据通常包括消息的长度和消息的编码方式。 可让receiver验证所收到消息中已加密和未加密信息的完整性。任何企图将有效加密信息与不同上下文结合的篡改都可通过AEAD发现。 背景
ATS301X_DVB_V1.2_20201116.sch
10-21
TWS蓝牙耳机,低延时
tomcat连接器加密基础
万豪给给的博客
08-22 341
server.xml文档 中一段注释取消:如下所示 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
配置Tomcat只支持TLS1.2版本
weixin_40461030的博客
01-10 9211
目录 一、找到Tomcat配置文件 二、修改配置文件 三、重启Tomcat 一、找到Tomcat配置文件 %TOMCAT%/conf/server.xml 二、修改配置文件 原配置: <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" S...
tomcat & java 强制使用tlsv1.2协议
windavi的博客
04-30 1615
1 修改代码解决: # "TLSv1", "TLSv1.1", "TLSv1.2" static { // 初始化线程池 RequestConfig params = RequestConfig.custom().setConnectTimeout(3000).setConnectionRequestTimeout(1000).setSocketTimeout(4000) ...
java8+tomcate8仅支持TLSv1.2
weixin_30387423的博客
08-09 1776
1、编辑$tomcat_home/conf/server.xml <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="...
SSL基础知识及Nginx/Tomcat配置SSL
拾级而上
09-06 966
HTTPS 是在 HTTPS 基础之上添加 SSL/TLS 使网络通讯加密,进而确保通信安全。可简记为 HTTPS = HTTP + SSL/TLS 本文档主要讲解常规SSL格式、Nginx 与 TomcatSSL 配置方法 及 通过 OpenSSL 转换证书格式的内容。 1. SSL 证书主流格式说明 SSLTLS(新版SSL)统称 SSL 证书(又称 CA 证书、数字证书),用于数据传输过程的加密。 本质上 SSL 证书是一个 X.509 证书,是定义证书数据结构的标准。在 X.509 标准
SSL ATS 不合规
陈熙之的博客
07-29 3579
公司弄的一个微信小程序,前端开发说ATS不合规,证书是在阿里上面申请的一个免费证书,在https://myssl.com/这里进行https安全评估。 在网上查了下,大致意思就是,ATS苹果提出的标准,PCI DSS 是支付标准,没有支付不考虑PCI DSS ,保证ATS通过就好了,免得IOS不支持。方法就是修改注册表,PCT 1.0 、SSL 2.0、TLS 1.0 这些该禁用的禁用,该开启的开启。一大堆,人都不好了,还好后面找到一个小工具,IISCrypto.exe,81.6KB,打开看看吧..
Windows Server 2008R2 TLS 升级到v1.2
weixin_42485014的博客
10-09 2199
项目背景: 开发微信小程序的后台接口,安卓请求正常,IOS请求失败。 调查发现是:服务器协议版本不能低于TLS v1.2 ATS检测链接:https://myssl.com/ats.html 接下里我们需要从v1.1 升级到 v1.2 服务器背景: Windows Server 2008R2 SSL证书 是阿里云免费证书 步骤1: 用管理员身份打开PowerShell 步骤2: 执行下面的命令 # Enables TLS 1.2 on windows Serve...
tomcat双向加密
iteye_1653的博客
12-11 137
Tomcat配置SSL的双向认证    证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。    同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。    环境:tomcat-6.0.18、jdk1.6.0_18    1. 为服务器生成证书    使用keytool 为Tomcat 生成证书,假定目标机器的域名是"localhost"...
Tomcat7.0.57 配置https,并支持TLSv1.2,且通过苹果ATS 安全认证
chipiao2039的博客
12-14 838
1、 参考:https://help.aliyun.com/knowledge_detail/48151.html http://m.blog.csdn.net/article/details?id=50527406 阿里云证书安装: 开始配置...
如何配置TLSv1.2版本的ssl
XiaoXiao_RenHe的专栏
12-26 2330
tomcat、nginx如何配置TLSv1.2版本,如何验证TLSv1.2版本是否生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值