https站点强制通信协议TLSv1.2

最新推荐文章于 2024-06-23 00:41:10 发布
置顶 最新推荐文章于 2024-06-23 00:41:10 发布
阅读量7.4w 收藏 17
点赞数 10
分类专栏: tc server Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fred_lzy/article/details/74178023
版权

现在网络安全原来越重要,好多公司网站需要ssl支持,也就是要求客户通过https访问公司站点,由于TLSv1.1容易被黑客攻击,于是很多企业要求站点只提供TLSv1.2协议支持。

对Java 程序,TLSv1.2的实现中, oracle 从JDK1.7 update96以后的版本才开始支持,IBM JDK 采用的是类似的方案。只有从JDK1.8开始才是默认支持的。

https://bugs.openjdk.java.net/browse/JDK-7093640

https://www.java.com/en/configure_crypto.html#enableTLSv1_2

https://wiki.openssl.org/index.php/Manual:Ciphers(1) 参见TLSv1.2支持的cipher list.

TLSv1.2协议支持具体要分三部分内容。

<一>服务器对TLSv1.2的支持。

具体要看服务器采用的是那种服务器,这里主要讲Apache web server 和Tomcat 为基础的web 服务器。

Apache web server:

更新文件 httpd-ssl.conf于如下路径:WebServer/conf/extra/


做如下更改: 

#Limit Protocol to TLSv1.2
SSLProtocol +TLSv1.2

#Update cipher suites to remediate variousencryption related vulnerabilities
SSLHonorCipherOrder On
SSLCipherSuiteECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256

 

Tomcat:

 更新文件 wrapper.conf 文件于如下路径

 Tomcat/conf/ (Windows) or the setenv.shscript file (UNIX) with the following modifications:

 ·        添加参数 -Djdk.tls.client.protocols=TLSv1.2 在 Java Virtual Machine (JVM) arguments.

针对AIX 环境参数变为-Dcom.ibm.jsse2.overrideDefaultProtocol="TLSv12".

·       如果Tomcat 配置了TLS , 更新文件 server.xml 在如下路径

Tomcat/conf/, 如下. 在<Connector> 定义中, 更改 ciphers 和 sslProtocols 参数如下:

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA" sslProtocols="TLSv1.2"


<二>客户端设置对TLSv1.2的支持

现代浏览器对TLS 1.2 默认支持的版本如下: 
  
    Firefox: Next 6 months (either version 27 or 28) 
    IE version 11 
    Google Chrome 31 
    Opera 18 on Windows 
    Safari 7.0 on Mac 


  ①.打开Java Control Panel,查看Java支持的TLS版本

  ②.高级。拉到最下面。

                      

                                    

为了你的浏览器在访问时不弹出不安全访问访问提示,你需要在浏览器中导入客户端证书。


TrustError IE.png

<三>客户端默认通过TLSv1.2访问设置。
本文以httpClient 4.5.1为例,特别讲述了怎么让客户端程序强制通过TLSv1.2通信的代码修改。



  1. import org.apache.http.impl.client.DefaultHttpClient;  
  2.   
  3. public class SSLClient extends DefaultHttpClient {  
  4.         public SSLClient() throws Exception {  
  5.             super();  
  6.             SSLContext ctx = SSLContext.getInstance("TLSv1.2");  
  7.             X509TrustManager tm = new X509TrustManager() {  
  8.                 @Override  
  9.                 public void checkClientTrusted(X509Certi<a target=_blank target="_blank" href="http://superuser.com/questions/747377/enable-tls-1-1-and-1-2-for-clients-on-java-7">http://superuser.com/questions/747377/enable-tls-1-1-and-1-2-for-clients-on-java-7</a>ficate[] chain, String authType) throws CertificateException {  
  10.                 }  
  11.   
  12.                 @Override  
  13.                 public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {  
  14.                 }  
  15.   
  16.                 @Override  
  17.                 public X509Certificate[] getAcceptedIssuers() {  
  18.                     return null;  
  19.                 }  
  20.             };  
  21.             ctx.init(nullnew TrustManager[] { tm }, null);  
  22.             org.apache.http.conn.ssl.SSLSocketFactory ssf = new org.apache.http.conn.ssl.SSLSocketFactory(ctx,  
  23.                     org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);  
  24.             ClientConnectionManager ccm = this.getConnectionManager();  
  25.             SchemeRegistry sr = ccm.getSchemeRegistry();  
  26.             sr.register(new Scheme("https"443, ssf));  
  27.         }  
  28.     }  

为了测试需要你可以通过如下代码来测试你的客户端环境,看你的客户程序可以采用的协议:


  1. public static void main(String[] args) throws Exception {  
  2.         SSLContext context = SSLContext.getInstance("TLS");  
  3.         context.init(nullnullnull);  
  4.   
  5.         SSLSocketFactory factory = (SSLSocketFactory) context.getSocketFactory();  
  6.         SSLSocket socket = (SSLSocket) factory.createSocket();  
  7.   
  8.         String[] protocols = socket.getSupportedProtocols();  
  9.   
  10.         System.out.println("Supported Protocols: " + protocols.length);  
  11.         for (int i = 0; i < protocols.length; i++) {  
  12.             System.out.println(" " + protocols[i]);  
  13.         }  
  14.   
  15.         protocols = socket.getEnabledProtocols();  
  16.   
  17.         System.out.println("Enabled Protocols: " + protocols.length);  
  18.         for (int i = 0; i < protocols.length; i++) {  
  19.             System.out.println(" " + protocols[i]);  
  20.         }  
  21.   
  22.     }  



FredLzy
关注
  • 10
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SharpTLSScan:扫描服务器以获取受支持的SSLTLS版本以及密码套件。 同时检查服务器的证书。 支持SSLv2-TLSv1.2
04-29
夏普TLS扫描 该应用程序扫描服务器以查看其支持的SSLTLS版本以及哪些密码套件。 它与名为sslscan( )和sslscan-win( )的程序非常相似。已在5年内进行了更新,因此不支持TLS 1.1或1.2,这就是我编写此工具的原因。 您可以在此处下载源代码,也可以从我的博客获取可执行文件 更新到v1.3。 由于Poodle,将所有SSLv3更改为YELLOW。 删除了“正在使用...”文本,因为该文本与stdout混淆,并且如果您要以自动化方式使用此程序,则其他程序将更难以解析该程序的输出。 添加了NoSchannel参数,该参数绕过证书和SChannel内容,直接进入密码扫描。
SSLContext.getInstance()中参数设置TLS版本无效的问题
热门推荐
zqj1172102457的博客
05-19 2万+
问题:SSLContext sc = SSLContext.getInstance(“TLSv1.1”)设置后,https握手连接使用中使用的TLS版本还是jdk的默认版本(jdk7默认是TLSv1,jdk8默认是TLSv1.2)。 原因:代码中有这个段conn.getOutputStream().write(postBody.toString().getBytes());// 输入参数 进行输入参数,而SSLContext sc = SSLContext.getInstance(“TLSv1.1”)放在c
连接SQL Server时出现TLSv1 was negotiated. Please update server and client to use TLSv1.2 at minimum.的解决方法
最新发布
2301_81034686的博客
06-23 1061
如果出现 “驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接”,请参考。看到这个错误的时候我觉得可能是我的idea版本不支持,但想到我的是2024版就有点.....注意看了之后,原来是 Driver 的版本太高了,这样的话我们直接在这个页面中直接修改。修改版本之后再次测试连接便可连接成功。
Java SSLTLS客户端证书配置
茅坤宝骏氹的博客
10-17 5673
一、证书存储格式 1、pem格式:pem、crt、key。编码方式base64、pkcs1、pkcs8 2、p12 3、jks(依赖jdk版本,小版本差异会报错) 二、TLS安全概念 (1)PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。通过证书和秘钥来确认通讯双方是否可信任。 (2)CA CA是Certificate Authority的简称,即证书的签发机构
Httpclient3.1指定tlsv1.2协议访问https
不会飞的小龙人的博客
03-11 1万+
前言 最近因公司某个服务器应用升级以及互联网安全要求,近期将禁用对TLSv1.0、TLSv1.1的访问支持,要求所有访问该服务的客户端项目升级到TLSv1.2,否则到期TLSv1.2生效后,将影响客户端的正常访问,于是安排工作着手对部份老项目进行升级改造。 TLS协议说明 百度百科的描述 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 传输层安全性协
Received fatal alert:handshake_failure 异常解决方法
weixin_40461030的博客
01-15 2万+
目录 1.背景 2. 报错信息 3.问题分析 4. 解决方法 1.背景 PCI认证,要求安全传输层协议由之前的TLS v1.0、TLS v1.1升级到TLS v1.2。 2. 报错信息 java.lang.Exception: 接口调用失败: at com.huateng.szairpay.common.utils.HTTPSInvoke.sendHttpsRequest...
http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3
西京刀客
02-09 1万+
文章目录一、http服务停用不安全的TLS1.0和TLS1.1协议nginxApacheapache要支持TLS1.2 版本要求工作中遇到问题整理[error] No SSL protocols available [hint: SSLProtocol]apache 版本支持TLS1.3公网环境验证站点正在使用ssl/tls 版本二、关于启用TLS 1.31. 什么是TLS 1.3?2. 如何确定openssl库的最新支持的SSL/TLS版本?三、客户端对ssl/tls支持情况1. curl浏览器四、参考
Netty实现SSL双向验证完整实例
moonpure的专栏
09-27 1万+
一、证书准备      要使用ssl双向验证,就必须先要生成服务端和客户端的证书,并相互添加信任,具体流程如下(本人调试这个用例的时候,花了很多时间来验证证书是否正确,以及握手失败的原因,这里证书生成过程只要按流程走,本人能保证绝对没有问题) 现在打开cmd,在哪个目录下打开,证书就会放在哪个目录下: 第一步:   生成Netty服务端私钥和证书仓库命令  keytool -genkey ...
HTTPSSSL证书在服务端TLS协议中启用TLS1.2的小工具,推荐配置:TLSv1 TLSv1.1 TLSv1.2
01-15
HTTPS是HTTP的安全版,通过SSL/TLS协议提供加密通信、身份验证和数据完整性,确保网络通信的安全性。在本文中,我们将深入探讨如何在Windows服务器上启用TLS 1.2,以便支持HTTPS连接,特别是针对微信小程序的场景。 ...
webmagic修复HTTPS下无法抓取只支持TLSv1.2的站点的bug重新打包jar
04-05
webmagic爬虫修复HTTPS下无法抓取只支持TLSv1.2的站点的bug后重新打包的jar,用这个替换原jar,在爬取HTTPS站点后就不会报错了。
TLSv1.2&DTLSv1;.2介绍
03-05
TLS全称是Transport Layer Security Protocol,TLS的前身是网景公司(NetScape)...本胶片介绍RFC5246 TLSv1.2规范,TLS的目标是为通讯实体间提供安全的连接,包括对通信实体的相互认证,通讯内容的私密性和完整性保护
sendEmail:sendEmail v1.56 Perl脚本已更新,支持TLSv1.2和TLSv1.3
04-19
TLSSSL(Secure Sockets Layer)的继承者,是互联网上用于加密通信和验证服务器身份的标准协议。在电子邮件传递过程中,TLS可以确保数据在传输过程中不被窃听或篡改,增强了邮件的安全性。TLSv1.2和TLSv1.3是目前...
如何配置TLSv1.2版本的ssl
XiaoXiao_RenHe的专栏
12-26 2088
tomcat、nginx如何配置TLSv1.2版本,如何验证TLSv1.2版本是否生效。
java实现HTTPS单向认证&TLS指定加密套件(文章很详细,好文章!)
HD243608836的博客
07-13 6427
1、HTTPS介绍 由于HTTP是明文传输,会造成安全隐患,所以在一些特定场景中,必须使用HTTPS协议,简单来说HTTPS=HTTP+SSL/TLS。服务端和客户端的信息传输都是通过TLS进行加密。这样就能在一定程度上避免敏感信息被截取。 在通信过程中,请求方称为客户端,响应方称为服务端。HTTPS请求流程如图: 1、客户端向服务端发送加密版本、加密算法种类、随机数信息等。 2、服务端返回客户端发送的信息并带上服务端证书(公钥证书)。 3、客户端效验服务端证书的合法性。 4、...
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
qq_35706453的博客
06-29 2178
建立连接时异常: handshake_failure 排查问题第一步: 1)首先在idea的 Run -> Edit Configrations增加 -Djavax.net.debug=all 可以按照下图保存文件。 2)开始请求查看文件或者控制台 main, WRITE: TLSv1.2 Handshake, length = 217 #客户端发送 [Raw write]: length = 22 main, READ: TLSv1.2 Alert, length = 2 #服务端 ma
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9526
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
Java - SSLContext.getInstance()
A_bad_horse的专栏
04-01 981
转载:SSLContext.getInstance()中参数设置TLS版本无效的问题
android https 双向认证--高级
fangqiangqi的博客
06-12 1358
https双向认证,这种一般不会在android遇到,因为这种正常是服务器和服务器之间通信采用,而且是银行金融类用的比较多。用在android端的话,不仅起不到安全作用,反而会让https不安全,因为加密对称秘钥的公私钥需要存放在客户端。具体为什么不安全,这是很基础的知识,这里不讲。 正常需要用到双向认证时,会给我们2个证书:Ca证书 和 .p12结尾的证书, 这种做法比较简单,网上到...
SSLContext getInstance支持的协议
u010938058的博客
11-12 5736
SSLContext getInstance支持的协议 Algorithm Name Description SSL Supports some version of SSL; may support other versions SSLv2 Supports SSL version 2 or later; may support other versions SSLv3 Supports SSL version 3; may support other versions TLS
wireshark tlsv1.2解密
06-28
### 回答1: Wireshark可以解密TLSv1.2加密的数据流,只需要在Wireshark中配置相应的密钥即可。具体步骤如下: 1. 打开Wireshark并加载TLSv1.2加密的数据包。 2. 找到TLSv1.2加密的数据包,右键点击该数据包并选择“解密As”。 3. 在弹出的“解密协议”窗口中选择“Transport Layer Security(TLS)”并点击“编辑”按钮。 4. 在“编辑解密密钥”窗口中输入相应的密钥,点击“OK”按钮保存。 5. 重新加载数据包,Wireshark将自动解密TLSv1.2加密的数据流。 需要注意的是,为了成功解密TLSv1.2加密的数据流,必须拥有相应的密钥。如果没有密钥,无法解密数据流。 ### 回答2: Wireshark是一个流行的开源网络分析工具,用于分析网络数据包并提供诸如协议分析、流量分析、数据包捕获、IO图形化等功能。Wireshark支持许多协议,包括TLS协议。 TLS(Transport Layer Security)是保护互联网通信的一种协议,TLS通常用于对HTTPS连接进行加密。TLS的加密过程中,数据包被加密,导致Wireshark无法直接解密存储在其中的通信。因此,用户需要将私钥导入Wireshark以解密TLS通信。 为了进行Wireshark TLSv1.2解密,需要有以下基本信息: - TLS会话的所有通信内容的pcap文件 - SSL服务器私钥。与服务器私钥关联的证书是用于验证服务器身份的证书。如果您不能拥有该证书,您可能无法解密通信。 - Wireshark安装了GnuTLS库,以使解密功能可用 - 使用openssl生成了可导入Wireshark的SSL服务器私钥文件,该私钥文件需要扩展名“.key”,以及用于生成私钥的证书。(openssl genrsa -out /path/to/server.key 2048,openssl req -new -out /path/to/server.csr -key /path/to/server.key,openssl x509 -req -days 3650 -in /path/to/server.csr -signkey /path/to/server.key -out /path/to/server.crt) 如果您已经准备好了上述需求,则可以按照以下步骤进行解密: 1. 打开Wireshark,点击edit > preferences 2. In protocol选择SSL,选中RSA key列表中的“+”,添加key文件 3. 填写以下信息: - 协议: SSL - 密钥类型:私人 - 密钥文件:您生成的.crt文件 - 密钥密码:如果有则需要填写 4. 点击OK保存设置 5. 打开pcap文件 6. 如果您已正确导入SSL服务器私钥,Wireshark现在应能够解密TLS数据包并正确显示会话内容。 需要注意的是,Wireshark TLS解密功能通常只能在本地计算机上进行,因为它需要访问私钥文件。也就是说,无法使用Wireshark远程解密TLS通信。另外,在使用本功能时,Wireshark会在内存中保存您的私钥文件,因此应确保采取适当的安全措施,以确保未经授权的人无法访问您的私钥文件。 在进行Wireshark TLSv1.2解密时,需要仔细检查所有交换的密钥,以确保安全地执行此操作。TLS通信的加密性质使得初学者在设置过程中容易出错,可能会导致未经授权的访问或者数据泄漏。因此,谨慎使用Wireshark TLSv1.2解密功能是非常重要的。 ### 回答3: Wireshark是一种流行的网络分析工具,允许用户在网络流中查看和分析数据包。然而,由于TLS1.2是一种加密协议,Wireshark默认情况下无法解密TLS1.2流量。但是,Wireshark可以手动配置来解密TLS1.2流量,并且可以从中分析明文数据。 要解密TLS1.2流量,需要以下步骤: 第一步,获取私钥和证书。在TLS握手期间,服务器向客户端发送证书,而其中包含公钥。获取此证书并将其导出为PEM格式。同时,需要在服务器上获取TLS私钥。这可以通过在服务器上使用openssl命令行,提供私钥密码,以及对应证书的路径。 第二步,配置Wireshark以使用私钥和证书来解密TLS1.2流量。在Wireshark中,打开“Edit -> Preferences -> Protocols -> TLS”,然后点击“Edit”按钮。在“Pre-Master secret log filename”字段中输入文件路径,以便Wireshark可以记录握手期间预先主密钥。在“RSA keys list”字段中,添加私钥和证书对应的PEM文件。 第三步,启动Wireshark捕获,并开始记录TLS1.2流量。为了查看解密的数据,请右键单击加密流量,然后选择“Decode As...”,并将其解码为“TLS”,以使用先前配置的RSA密钥解密。 通过这种方法解密TLS1.2流量,可以帮助网络管理员或安全专家检测网络上的安全问题,并分析网络流量中的潜在风险。但同时也要注意,这需要获取服务器的私钥,因此需要谨慎处理,避免私钥泄露导致网络安全问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值