2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。
笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在 tomcat 这层做,可以参考本文的做法。
首先声明,tomcat 7 以后能够通过 JSSE 支持 TLSv1、TLSv1.1、TLSv1.2。也能支持 ATS 所要求的那些正向签字算法,但是 ATS 要求只能支持这些正向签字算法,一些安全级别较弱的算法不能够支持,也就是完全正向加密。总之,本文要做的事情就是禁用 TLSv1、TLSv1.1,禁用非正向加密的弱签字算法。

1. Tomcat 强制完全 TLS v1.2

JDK 1.7 以上的 JSSE 才能支持到 TLS v1.2。

1.1. ssl 证书迁移到 tomcat

1.1.1. 联系证书颁发公司,转换为 jks 后缀格式

对方技术支持会返回 keystore.jks 证书文件及其密码证书密码。

1.1.2. 将证书文件放在 %tomcat%/conf/ 目录

1.1.3. 证书 tomcat 配置

将 %tomcat%/conf/server.xml 中的以下注释部分取消注释:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

然后向该 Connector 标签添加证书相关参数:
keystoreFile="conf/keystore.jks" keystorePass="证书密码"

1.2. 配置 tomcat 支持 TLSv1.2

1.2.1. jvm 支持

编辑 %tomcat%/bin/catalina.sh(或 bat),在文件内容前添加:
set JAVA_OPTS=-Djdk.tls.client.protocols="TLSv1.2" -Dsun.security.ssl.allowUnsafeRenegotiation=false -Dhttps.protocols="TLSv1.2"

1.2.2.tomcat 配置

在上述 Connector 标签添加以下参数:
sslEnabledProtocols="TLSv1.2"

1.3. 完全 TLS v1.2 的检测

1.3.1. tomcat 启动时的验证

我们在启动 tomcat 的时候可以看到配置的 JAVA_OPTS 相关日志:
一月 11, 2017 11:29:36 上午 org.apache.catalina.startup.VersionLoggerListener log
信息: Command line argument: -Djdk.tls.client.protocols=TLSv1.2
一月 11, 2017 11:29:36 上午 org.apache.catalina.startup.VersionLoggerListener log
信息: Command line argument: -Dsun.security.ssl.allowUnsafeRenegotiation=false
一月 11, 2017 11:29:36 上午 org.apache.catalina.startup.VersionLoggerListener log
信息: Command line argument: -Dhttps.protocols=TLSv1.2

1.3.2. openssl 命令行工具

我们先看看 TLSv1.1 协议是否已禁用:
C:\tools\OpenSSL-Win32\bin>openssl s_client -connect localhost:8443 -tls1_1
CONNECTED(000000D0)
3252:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl\record\rec_layer_s3.c:1394:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 102 bytes
握手失败,TLSv1.1 协议是否已禁用。再来看看 TLSv1.2:
C:\tools\OpenSSL-Win32\bin>openssl s_client -connect localhost:8443 -tls1_2
CONNECTED(000000D0)
depth=0 C = cn, ST = sh, L = sh, O = kdf, OU = kdf, CN = defonds kong
verify error:num=18:self signed certificate
verify return:1
depth=0 C = cn, ST = sh, L = sh, O = kdf, OU = kdf, CN = defonds kong
verify return:1
---
Certificate chain
 0 s:/C=cn/ST=sh/L=sh/O=kdf/OU=kdf/CN=defonds kong
   i:/C=cn/ST=sh/L=sh/O=kdf/OU=kdf/CN=defonds kong
---
Server certificate
-----BEGIN CERTIFICATE-----
(略)
-----END CERTIFICATE-----
subject=/C=cn/ST=sh/L=sh/O=kdf/OU=kdf/CN=defonds kong
issuer=/C=cn/ST=sh/L=sh/O=kdf/OU=kdf/CN=defonds kong
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 990 bytes and written 342 bytes
可以看到 tomcat 只支持 TLSv1.2 了。

2. Tomcat 强制完全正向加密

2.1. 配置 tomcat

在上述Connector标签添加以下参数:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
  TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
  TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
  TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
  TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,
  TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,
  TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
  SSL_RSA_WITH_3DES_EDE_CBC_SHA"

最后重启tomcat即可。

2.2. 完全正向加密的检测

很多证书服务商提供了在线 ATS 检测接口,比如:

如腾讯云的检测结果:

3. 相关工具下载

本文所涉及 openssl 工具安装包,以及 server.xml、catalina.bat、keystore.jks 都已打包上传 CSDN 资源,有兴趣的朋友可以自行去下载以参考:
SSL/TLS 检测工具以及 tomcat 正向加密配置例子

参考资料

为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验的更多相关文章

  1. windows下脚本检测tomcat是否启动,没有启动则启动

    最近有个服务需要部署到windows server2003上面,机房没有windows ser的机器,没办法搞了个阿里云服务,购买的配置比较低, 不知道什么原因,tomcat启动后总是容易自动退出,搞 ...

  2. [转载] TLS协议分析 与 现代加密通信协议设计

    https://blog.helong.info/blog/2015/09/06/tls-protocol-analysis-and-crypto-protocol-design/?from=time ...

  3. linux本地检测tomcat是否启动成功

    @参考文章 原文如下: linux本地检测如何tomcat是否启动成功? 解决方法: 1.curl 127.0.0.1:8080 第一可以知道本地是否可以访问tomcat,返回页面代码 2.tail ...

  4. Shell脚本检测Tomcat是否正在运行

    #!/bin/sh # configurations # computer 设备名称 # target 监控目标 # watcher 跟踪者(邮箱) computer="ehetong&qu ...

  5. JRockit检测Tomcat内存溢出JAVA内存泄漏问题

    http://blog.csdn.net/liyanhui1001/article/details/8240473 公司的一个Java应用系统上线以来,基本每1天OutOfMemoryError: P ...

  6. 检测tomcat服务是否正常

    由于tomcat服务经常会出现进程在,但是服务却无法正常响应的问题,而且进程跑在docker容器中,使用zabbix控制不是很方便,故此写了个简单的小脚本: #!/bin/bash #Author:f ...

  7. tomcat使用自签名证书实现https加密访问

    部署好java环境和tomcat之后 执行以下语句 #生成证书,keytool是java工具命令,-genkey生成证书,-alias证书名称,-keyalg应该是指算法,-keystore是证书存储 ...

  8. Wsyscheck(系统检测维护工具) v1.68.33绿色版

    软件名称:系统检测维护工具(Wsyscheck) v1.68.33绿色版软件类别:国产软件运行环境:windows软件语言:简体中文授权方式:免费版软件大小:1022 KB软件等级:整理时间:2011 ...

  9. 关于 iOS 10 中 ATS 的问题

    本文于 2016 年 11 月 28 日按照 Apple 最新的文档和 Xcode 8 中的表现进行了部分更新. WWDC 15 提出的 ATS (App Transport Security) 是 ...

随机推荐

  1. SpringMVC 上传文件(文件非必填)MultipartHttpServletRequest

    原文:https://blog.csdn.net/dorothy1224/article/details/79136676 上传文件(文件非必填)MultipartHttpServletRequest ...

  2. Hadoop部署方式-高可用集群部署(High Availability)

    版权声明:原创作品,谢绝转载!否则将追究法律责任. 本篇博客的高可用集群是建立在完全分布式基础之上的,详情请参考:https://www.cnblogs.com/yinzhengjie/p/90651 ...

  3. Kubernetes集群中Service的滚动更新

    Kubernetes集群中Service的滚动更新 二月 9, 2017 0 条评论 在移动互联网时代,消费者的消费行为已经“全天候化”,为此,商家的业务系统也要保持7×24小时不间断地提供服务以满足 ...

  4. Kubernetes集群部署--kubernetes1.10.1

    参考博客:https://mritd.me/2018/04/19/set-up-kubernetes-1.10.1-cluster-by-hyperkube/ 一.环境 (1)系统环境 IP 操作系统 ...

  5. Linux /etc/issue 和 /etc/issue.net的作用和区别

    1./etc/motd /etc/motd即messageoftoday(布告栏信息),每次用户登录时,/etc/motd文件的内容会显示在用户的终端.系统管理员可以在文件中编辑系统活动消息,例如:管 ...

  6. python的list()列表数据类型的方法详解

    一.列表 列表的特征是中括号括起来的,逗号分隔每个元素,列表中的元素可以是数字或者字符串.列表.布尔值......等等所有类型都能放到列表里面,列表里面可以嵌套列表,可以无限嵌套 字符串的特征是双引号 ...

  7. MongoDB 数据迁移和同步

    MongoDB 数据迁移和同步 MongoDB的数据同步 复制 mongodb的复制至少需要两个实例.其中一个是主节点master,负责处理客户端请求,其余的都是slave,负责从master上复制数 ...

  8. [2009国家集训队]小Z的袜子(hose) 浅谈莫队

    浅谈莫队 推荐学习博客 http://foreseeable97.logdown.com/posts/158522-233333 借用题目: bzoj 2038 2009 国家集训队 小Z的袜子htt ...

  9. poj 1182/codevs 1074 食物链

    http://poj.org/problem?id=1182 http://codevs.cn/problem/1074/ 动物王国中有三类动物 A,B,C,这三类动物的食物链构成了有趣的环形.A吃B ...

  10. 基于 Cocos2d-x-lua 的游戏开发框架 Dorothy 简介

    基于 Cocos2d-x-lua 的游戏开发框架 Dorothy 简介 概述 Dorothy 是一个在 Cocos2d-x-lua 基础上发展起来的分支, 它去掉 Cocos2d-x-lua 那些过多 ...