Tomcat(106)如何在Tomcat中解决SSL/TLS握手失败?

于 2024-12-29 10:01:54 发布
阅读量519 收藏 3
点赞数 10
分类专栏: Java基础 文章标签: tomcat ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43012298/article/details/139176020
版权

在Tomcat中,SSL/TLS握手失败通常归因于证书配置错误、不匹配的协议或密码套件、不正确的密钥库密码等问题。下面是详细的排查步骤和代码示例:

1. 检查server.xml中的SSL/TLS配置

首先,确保在server.xml中正确配置了SSL/TLS连接器。以下是一个基本的SSL/TLS连接器配置示例:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="conf/keystore.jks"
                     certificateKeystorePassword="changeit"
                     type="RSA" />
    </SSLHostConfig>
</Connector>

确保:

  • certificateKeystoreFile 指向正确的密钥库文件位置。
  • certificateKeystorePassword 与创建密钥库时使用的密码匹配。
  • protocol 通常设为 org.apache.coyote.http11.Http11NioProtocol

2. 确认密钥库和证书

如果没有现成的SSL证书,需要生成一个自签名证书或从证书颁发机构(CA)获取证书。以下示例展示了如何使用 keytool 生成一个自签名证书:

keytool -genkey -alias tomcat -keyalg RSA -keystore conf/keystore.jks -keysize 2048

完成后,将会生成一个名为 keystore.jks 的文件,该文件包含自签名证书。

确保密钥库密码和证书密码正确:

<Certificate certificateKeystoreFile="conf/keystore.jks"
             certificateKeystorePassword="changeit"
             type="RSA" />

3. 检查协议和密码套件

确保启用了正确的TLS协议和密码套件。如果需要限制某些协议或密码套件,可以进行如下配置:

<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/keystore.jks"
                 certificateKeystorePassword="changeit"
                 type="RSA" />
    <Cipher>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256</Cipher>
    <Protocols>TLSv1.2, TLSv1.3</Protocols>
</SSLHostConfig>

4. 检查Tomcat和Java版本

确保Tomcat和Java版本都支持所配置的TLS协议和密码套件。较旧版本的Java可能不支持较新的TLS协议或强密码套件。执行以下命令检查Java版本:

java -version

5. 检查日志文件

Tomcat的日志文件位于<TOMCAT_HOME>/logs目录下,特别是catalina.outlocalhost.log。在启动Tomcat后,检查这些日志文件以获取有关SSL/TLS问题的详细信息。

例如,可能看到如下错误:

SEVERE: Failed to initialize end point associated with ProtocolHandler ["http-nio-8443"]
java.io.IOException: Keystore was tampered with, or password was incorrect

这种错误通常表明密钥库密码不正确。

6. 使用OpenSSL进行验证

使用OpenSSL工具来检查SSL连接是否正常:

openssl s_client -connect localhost:8443

这可以帮助确认SSL证书是否正确加载,并且没有配置错误。

7. 检查证书链

确保证书链完整并正确配置。如果使用中间证书,确保它们包含在密钥库中或者通过certificateChainFile参数进行配置。

8. 复查配置示例

以下是一个完整的SSL/TLS配置示例:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="conf/keystore.jks"
                     certificateKeystorePassword="changeit"
                     type="RSA" />
        <Cipher>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256</Cipher>
        <Protocols>TLSv1.2, TLSv1.3</Protocols>
    </SSLHostConfig>
</Connector>

总结

通过以上步骤,可以有效地排查并解决Tomcat中的SSL/TLS握手失败问题。确保正确配置密钥库和证书、选择合适的协议和密码套件,以及通过日志和工具进行验证。这样可以保证Tomcat的SSL/TLS配置稳定和安全。

nginx 漏洞修复
Bertram的博客
09-21 1976
nginx漏洞修复
AppScan漏洞风险处理
qq_32590535的博客
06-19 4273
文章主要记录了一些由IBM Security AppScan Standard扫描的漏洞以及对应的修复方案,主要的应用技术架构为java的springboot单体
安全漏洞-https安全证书引发的一些问题
qq_36712606的博客
04-06 464
改不了,找运维,等死吧 加密会话(SSL)Cookie 中缺少 Secure 属性 给设置的cookies加secure属性,也可以找运维修改----很有可能导致报错 secure为true报错的原因---可以参考一下 ctx.cookies.set('com_AStip', jmUserId, { maxAge: 24 * 3600 * 1000 * 7, //保存七天 ...
tomcat配置ssl加密实现(单向加密)
javazw123的专栏
03-24 1268
我的操作是这样的,很简单的单向加密:   数字证书的制作: 由于本系统采用手机客户端数据传输,不适合采用双向认证,仅采用单向认证机制,在【开始】-à【运行】输入【cmd】后,执行如下命令。在相应的目录上(默认是C:/Documents and Settings/
AppScan 检测到 SHA-1 密码套件
记录或发现工作问题,予以解决
04-14 2771
安全报告提示密码套件产生不安全的特性,我们通过配置nignx进行安全升级,在这里说明,密码套件的问题不是登陆密码等级过低产生的,而是说通过系统匹配的套件安全性能过低,也就是说套件老旧,容易被其他系统进行暴力攻破程序,所以我们需要通过过滤低等级的密码套件进行升级。
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
YNlanduiyun的博客
01-19 9842
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进...
java安全(八)终极装备——HTTPS协议之SSL/TLS协议
Not_Lost_Yesterday的博客
03-22 754
SSL/TLS协议我的理解就是客户端(比如浏览器)和服务器端(比如tomcat)商量他们之间数据传输用的对称加密的算法和秘钥,最后用这个算法和秘钥进行数据加密传输。 一、SSL协议的握手过程 “商量”被大牛们升华了就是握手过程. 开始加密通信之前,客户端和服务器首先必须建立连接和交换参数,这个过程叫做握手(handshake)。 假定客户端叫做爱丽丝,服务器叫做鲍勃,整个握手过程可以用下图说
服务器SSL/TLS的瞬时Diffie-Hellman公共密钥过弱验证
最新发布
03-11
### 解决方案概述 ...通过对服务器端进行适当配置更改,并采用最新的加密技术和实践标准,能够显著提升 SSL/TLS 握手过程中临时 Diffie-Hellman 密钥交换环节的安全水平,进而满足严格的信息安全保障需求[^3]。
TCP、TLS\SSL、JSSE、HTTPS杂烩笔记
xyjy11的博客
09-04 2063
以目前我的理解以及这两天的各种百度写个总结笔记,有不对的请指正 TCP 简介 全名Transmission Control Protocol,传输控制协议,是网络层IP协议和链路层Ethernet协议之上,Ethernet协议实现链路层的数据传输和地址封装(源方和目标方的MAC地址),解决局域网的点对点通信,而不同局域网之间的两台机子则需要IP协议进行地址的路由中转,TCP则面向的是端口到端口,保证数据传输的完整和可靠,包括数据包的确认、失败重发、流量控制,数据量大的情况TCP会将数据拆分为有
tomcat上配置双向的ssl
fen_dou_shao_nian的博客
01-28 415
背景 项目开发完成后一般会进行高危漏洞检测,检测时出现 步骤 整体步骤 第一步:为服务器生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\apache-tomcat-8.5.35\keystores\tomcat.keystore -validity 36500 第二步:为客户端生成证书 keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D
Tomcat(51)TomcatSSL/TLS协议版本
qq_43012298的博客
12-02 761
通过上述步骤,你可以在Tomcat中配置SSL/TLS协议版本,以确保服务器使用安全的加密协议。这对于保护数据传输和符合安全标准非常重要。确保你的配置符合当前的安全最佳实践,并定期检查和更新SSL/TLS配置以应对新的安全威胁。
为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验
Defonds 的专栏
01-12 1万+
2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在
Linux+Nginx+SSL(Https) 去Server响应头后 网页显示源码
l1179237106的博客
11-11 1845
解决办法1:去官网下载对应版本的nginx压缩包到服务器上,解压后修改ngx_http_header_filter_module.c文件。解决办法1:使用TLS v1.1 和 v1.2 ,目前他们已知的安全问题,只有 v1.2 提供了现代的加密算法。修改完成后重新编译安装nginx,这个步骤自己查一下,本人是把必要的原配置备份好后直接重新安装上传配置的方便。方法的话,一定要去掉,不然就会引起访问https时,网页无法正常显示,直接显示源码。解决方法2:SSLTLS 部署最佳实践:使用安全密码套件。
tomcat配置SSL加密网站_tomcat中ciphers参数安全级别较高的加密套件
2401_86968712的博客
09-08 1369
指定密钥文件路径,指定密钥文件密码12重启服务13访问测试,指定加密端口tomcat只需要做一加密,那其他的网站全都被加密。
Tomcat部署java项目,反馈漏洞CVE-2005-4900: TLS SHA-1 安全漏洞(中危) *
向着太阳微笑
10-11 3693
CVE-2005-4900: TLS SHA-1 安全漏洞
Tomcat配置SSL证书遇到的各种问题
热门推荐
Bronna的博客
07-18 2万+
今天决定把之前配置SSL证书遇到的各种问题记录下来 一,前往阿里云下载免费版SSL证书(具体可以百度) 二,参照下载时SSL证书配置进行配置(阿里云提供有Tomcat配置的视频) 视频连接:https://help.aliyun.com/video_detail/54217.html 1.配置Tomcat 没有按照视频来做,直接在Tomcat目录下新建cret文件夹
Tomcat(40)TomcatSSL会话超时
qq_43012298的博客
11-26 552
Tomcat中配置SSL会话超时可以通过修改server.xml文件中的Connector元素来实现。通过设置合适的会话超时时间,你可以优化SSL/TLS性能,减少重复的SSL握手过程,从而提高应用程序的性能。合理配置SSL会话超时对于处理大量并发SSL连接至关重要。
解决Apache Tomcat中的SSL安全问题:Http转Https方案
Java应用程序中,通过使用`javax.net.ssl`包中的类和接口,可以实现SSL/TLS协议。Java提供了丰富的API来管理密钥库、信任库、SSL上下文、安全套接字以及进行加密和解密操作。 对于SSLJava实现,开发者需要了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辞暮尔尔-烟火年年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值