Tomcat：无法创建 HTTPS 站点

Question

我正在尝试将 Intranet 门户设为安全 (https)。我已经添加了证书、密钥存储和端口重定向。这是 tomcat server.xml 配置条目。

Tomcat Server.xml 条目

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
                port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" 
                keystoreFile="conf/certificates.jks" keystorePass="testpassword"
                clientAuth="false" sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
                sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" />

面临的问题：

谷歌浏览器

This site can’t provide a secure connection

XXXXXXXX.XXXXXX.com uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Unsupported protocol
The client and server don't support a common SSL protocol version or cipher suite.

我无法确定根本原因。

Answer 1

我怀疑问题在于您的配置来自一些旧来源，并且由于多年来发现的各种对 SSL/TLS 的攻击，它不再被认为是安全的。有关一些示例，请参阅 POODLE 和 WeakDH。 （特别是您列表中的 TLS_ECDHE_RSA_WITH_RC4_128_SHA 现在被认为不安全，但可能还有更多。）请尝试从 OWASP wiki Tomcat page 或 WeakDH sysadmin reference page 获得更强的配置