我想知道在wildfly上配置SSL协议的正确方法。
在查看示例时,我发现了两种不同的方法。我想知道哪种方法是正确的-
将其添加到协议部分,如下所示:
<security-realm name="sslRealm">
<server-identities>
<ssl protocol="TLSv1.2">
或将其添加到 https 侦听器中,如下所示:
<https-listener name="https" socket-binding="https" security-
realm="sslRealm" enabled-protocols="TLSv1.2"/>
我正在使用wildfly-8.2.0.Final。
此处显示的配置选项也适用于Wildfly 9 和 10
正确的方法是同时使用它们。它们密切相关,请参见下文。
<https-listener ..>
Wildfly Undertow 子系统支持enabled-protocols属性,它是以逗号分隔的要支持的协议列表。例如:
enabled-protocols="TLSv1.1,TLSv1.2"
仅使用 TLSv1.2,许多漏洞都被堵住了。然而,默认情况下,Wildfly 支持所有版本的 TLS(v1.0、v1.1 和 v1.2),即使低于 1.2 的版本被认为是弱版本。
<server-identities />
在这里,基本上,您可以选择以前启用的协议之一。
<security-realm name="sslRealm">
<server-identities>
<ssl protocol="TLSv1.2">
该protocol属性默认设置为 TLS,一般不需要设置。
请注意,无需更改默认配置,您将获得一个支持 TLSv1.0、TLSv1.1 和 TLSv1.2 的 https 服务器。
要检查这些配置的效果,请使用以下命令:
nmap --script ssl-enum-ciphers -p 8443 <your wildfly IP>