【发布时间】:2016-04-21 17:48:07
【问题描述】:
我正在为我的一个项目组装一个 XMPP 服务器,并且我有相当严格的加密标准。即,我需要 TLS 协议来仅使用 AES-256 密码套件及其等价物。基本上,我希望排除任何不需要 JCE 无限政策的东西。是的,我知道这对客户端来说是非常禁止的,因为他们需要能够使用/安装 JCE 策略。我没问题,我不能解决它。
据我了解,Openfire 使用基本 JRE。我找到了如何在 JRE 中安装 JCE 无限制策略,以及如何通过 java.security 中的 jdk.tls.disabledAlgorithms 从 Java 环境中删除密码套件。但是,我的测试表明,即使我设置了一个环境,其中客户端和服务器没有共享的受支持套件,并且加密连接设置为“必需”,客户端仍然可以连接和通信。我特别想避免这种行为。
此外,随着 Openfire 4.0 的发布,以及直接修改启用密码套件列表的能力,我注意到 AES-256 密码首先不在受支持的列表中,即使 JCE 无限制策略是安装。这意味着,无论我在 jdk.tls.disabledAlgorithms 中还是直接在 Openfire 中删除不可接受的密码套件,Openfire 都不会导入我需要的 AES-256 套件,无论 JCE 政策如何。
有没有办法将密码套件添加到 Openfire 列表中,只要底层 JRE/JCE 支持密码套件?
【问题讨论】:
标签: java ssl encryption openfire jce