我尝试根据服务器首选项设置HTTPS SSL密码套件首选项,而不是基于具有最高强度的客户端和服务器支持的通用密码套件自动选择。
我想让服务器选择具有“ TLS_ECDHE ...”的服务器和客户端之间的公用,以便支持转发保密。现在,我在“ www.ssllabs.com”中进行了测试,客户端浏览器将更喜欢具有“ TLS_RSA ...”的密码,而不是“ TLS_ECDHE” ...
我注意到Java 8支持设置密码套件首选项:http : //docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#cipher_suite_preference
我假设Spring Boot嵌入式Tomcat将调用Java 8函数来选择密码
这是我在spring boot application.properties文件中所做的设置服务器支持密码集的操作:
server.ssl.ciphers=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_SHA,TLS_ECDHE_RSA_WITH_AES_256_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,TLS_ECDHE_RSA_WITH_AES_256_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_128_SHA,TLS_DHE_DSS_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_256_SHA256,TLS_DHE_DSS_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_256_SHA
希望有人可以指导我如何覆盖默认的选择密码行为。
你需要告诉连接器的基础协议处理程序使用服务器的密码套件顺序。你可以使用WebServerFactoryCustomizer
:
@Bean
public WebServerFactoryCustomizer<TomcatServletWebServerFactory> servletContainerCustomizer() {
return (factory) -> {
factory.addConnectorCustomizers((c) ->
((AbstractHttp11Protocol<?>) c.getProtocolHandler()).setUseServerCipherSuitesOrder(true));
};
}
要将这个解决方案升级到Spring Boot 2.1.x,我只需要做两个小小的改变:用替换
EmbeddedServletContainerCustomizer
为WebServerFactoryCustomizer<TomcatServletWebServerFactory>
,TomcatEmbeddedServletContainerFactory
用替换为TomcatServletWebServerFactory
。另外,在Spring Boot 2.0.7和2.1.3之间的某个位置,参数to
setUseServerCipherSuitesOrder
从String更改为boolean。setUseServerCipherSuitesOrder现在收到一个布尔值