製作的Geode使用的TLSv1

Question

爲了向下兼容的原因，我需要的Geode Jetty服務器使用的TLSv1，而不是1.1或1.2

隨着ssl-enabled-components=web和ssl-protocols=TLSv1.0集gemfire.properties然後當我開始的Geode，檢查與SSL Labs的HTTPS連接，然後我得到一個TLS結果：

我要找的TLS 1.1和TLS 1.0檢查也說Yes不No

的Geode SSL docs說Make sure your Java installation includes the JSSE API and familiarize yourself with its use.

的JSSE即將在JRE/lib/security目錄的java.security配置。我將其設置爲不禁用任何安全算法並重新啓動Geode，但結果相同。 TLS 1.1和1.0未能通過上面的SSL實驗室測試。

有沒有辦法強制Geode以https.protocols=TLSv1開頭？

當我嘗試啓動的定位與使用--J=-XX:https.protocols=TLSv1然後我得到

Error: Could not create the Java Virtual Machine. Error: A fatal exception has occurred. Program will exit. Unrecognized VM option 'https.protocols=TLSv1'

沒有單獨碼頭的配置，我可以找到...

更新--J=-Dhttps.protocols=TLSv1是正確的設置爲將TLS協議分配給JVM，並啓動Geode定位器和服務器。

更新當我設置java.security設置jdk.tls.disabledAlgorithms=TLSv1.1, TLSv1.2like the opposite of this那麼它是不可能的Jetty服務器都通過HTTPS進行通信。這讓我覺得Geode/Jetty ssl-protocols=TLSv1.0設置不適用？

的Jetty config說TLS v1.0, v1.1 and SSL v3 are no longer supported by default. If your Jetty implementation requires these protocols for legacy support, they can be enabled manually.

有沒有用的Geode配置碼頭的方式？

Answer 1

我不相信你現在可以做到這一點。主要是因爲Jetty是如何在內部進行配置的。 Jetty維護由正則表達式^.*_(MD5|SHA|SHA1)$定義的排除密碼列表。不幸的是，這個列表似乎勝過了可能被添加爲「包含」的任何密碼。以下是我用於測試的一個非常簡單的Jetty示例：https://gist.github.com/jdeppe-pivotal/c0c6e7de4282bc077357749fc91bc44f。當你運行它時，Jetty將產生一個很好的轉儲密碼和協議。

現在，您可以通過以下curl執行成功的請求：curl -k -v --tlsv1.2 https://localhost:8081/。現在，如果您使用tlsv1.0進行嘗試，它將會失敗，因爲必要的密碼套件都被禁用。但是，如果您取消註釋行：sslContextFactory.setExcludeCipherSuites()那麼事情應該開始工作。它所做的是刪除當前排除的所有密碼（並允許它們使用）。不幸的是，如果你只是嘗試並添加密碼（不排除所有內容），事情仍然不起作用。請注意，通過這樣做，Jetty仍然配置爲TLSv1.2（和1.1和1.0），但客戶端可以使用較低的協議版本。

底線是Geode沒有明確排除Jetty中的任何密碼。因此，如果你希望添加必要的密碼，它們很可能不會有效。我爲此打開了一個錯誤：https://issues.apache.org/jira/browse/GEODE-3891