Wildfly SSL 协议 (TLSv1.2) 配置

Posted

技术标签:

【中文标题】Wildfly SSL 协议 (TLSv1.2) 配置【英文标题】:Wildfly SSL protocol (TLSv1.2) configuration 【发布时间】:2016-02-14 13:05:08 【问题描述】:

我想知道在wildfly上配置SSL协议的正确方法。

在查看示例时,我发现了两种不同的方法。我想知道哪种方法是正确的-

在协议部分添加如下:

<security-realm name="sslRealm">
            <server-identities>
                 <ssl protocol="TLSv1.2">

或者如下添加到 https 监听器中:

<https-listener name="https" socket-binding="https" security-
realm="sslRealm" enabled-protocols="TLSv1.2"/>

我正在使用 wildfly-8.2.0.Final。

【问题讨论】:

嗨,黛布!欢迎来到 ***!在这里,我们通常不会在问题的末尾加上“谢谢”之类的东西,因为它们只是假设的。 :) 它稍微清理了问题,使它们阅读起来更快。由于这个社区规则,我只是快速编辑了你的问题。祝你的问题好运! :) 您是否找到任何适用的方法来解决您的问题? 【参考方案1】:

此处显示的配置选项也适用于 Wildfly 9 和 10

正确的方法是同时使用它们。它们密切相关,见下文。

&lt;https-listener ..&gt;

Wildfly Undertow 子系统支持enabled-protocols 属性,这是一个逗号分隔的支持协议列表。例如:

enabled-protocols="TLSv1.1,TLSv1.2"

仅使用 TLSv1.2,许多漏洞都被堵住了。但是,默认情况下,Wildfly 支持所有版本的 TLS(v1.0、v1.1 和 v1.2),即使低于 1.2 的版本被认为是弱版本。

&lt;server-identities /&gt;

在这里,基本上,您可以选择以前启用的协议之一。

<security-realm name="sslRealm">
    <server-identities>
        <ssl protocol="TLSv1.2">

protocol 属性默认设置为 TLS,一般不需要设置

请注意,无需更改默认配置,您将获得支持 TLSv1.0、TLSv1.1 和 TLSv1.2 的 https 服务器。

要检查这些配置的效果,请使用:

nmap --script ssl-enum-ciphers -p 8443 <your wildfly IP>

【讨论】:

nmap 脚本ssl-enum-ciphers 非常值得了解

以上是关于Wildfly SSL 协议 (TLSv1.2) 配置的主要内容,如果未能解决你的问题,请参考以下文章

SSL/TLS对称加密和非对称加密和TLSv1.3

Nginx-加密会话

通过任何 SSL 或 TLS 版本的 HTTPS 连接

编译支持 TLSv1.1+ 版本 curl

window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全

Python 3.6 SSL - 使用TLSv1.0而不是TLSv1.2密码 - (2路身份验证和自签名证书)