iT邦幫忙

2022 iThome 鐵人賽

DAY 20
0
DevOps

30天WebSphere入門及經驗分享系列 第 20

D20/WebSphere的SSL 連線設定

  • 分享至 

  • xImage
  •  

在WebSphere這套產品中,我們也能透過console去調整ssl的設定,
左側選單 > Security > SSL certificate and key management
進入頁面後,點擊右側 SSL configurations
https://ithelp.ithome.com.tw/upload/images/20221005/20128973RTosGgPzM7.png
進入可看到 NodeDefaultSSLSettings,再次點擊進入
https://ithelp.ithome.com.tw/upload/images/20221005/20128973ec8iLbUtIR.png
可看到右側的 Quality of protection (QoP) settings
https://ithelp.ithome.com.tw/upload/images/20221005/20128973VlnOanksph.png
點擊進入後,頁面如下
https://ithelp.ithome.com.tw/upload/images/20221005/20128973XHdZk2Vk8B.png
目前預設Protocol是SSL_TLSv2,代表目前入埠/出埠使用的protocol有TLS v1.0、v1.1、v1.2 ,
下拉選單可看到許多選項,對應的portocol,可參考IBM官方文件:
https://www.ibm.com/docs/en/sdk-java-technology/8?topic=suites-protocols
https://ithelp.ithome.com.tw/upload/images/20221005/20128973c7P1kyJ91w.png
其中還有支援最新的TLSv1.3 protocol。

現在先執行以下指令,測試看看現在我們的server1(port 9443),目前最高支援哪種portocol

docker exec test-was8.5.5.20 openssl s_client -connect localhost:9443

https://ithelp.ithome.com.tw/upload/images/20221005/20128973M2UWY0OL6k.png
可以看到目前支援到TLSv1.2

接下來,我將portocol改為TLSv1.3,並且只保留一個cipher
https://ithelp.ithome.com.tw/upload/images/20221005/20128973uiyLbITrs5.png
按下ok後save儲存

SSL的設定預設是會即時生效的,因此按下save後,再重新下指令

docker exec test-was8.5.5.20 openssl s_client -connect localhost:9443

https://ithelp.ithome.com.tw/upload/images/20221005/20128973QyXpzU9vv0.png
可以看到確實變成TLSv1.3 以及我唯一保留的cipher:TLS_AES_256_GCM_SHA384

另外,也由於我更改了protocol以及cipher的關係,
除了外部連進來(作為Server角色),裡面連出去(作為Client角色)也受到了影響。
我在測試程式裡連線到www.google.com 的部分也發生了javax.net.ssl.SSLHandshakeException
https://ithelp.ithome.com.tw/upload/images/20221005/201289730pOdaeGCEG.png

本來以為是因為只能使用TLSv1.3 以及 TLS_AES_256_GCM_SHA384,
而www.google.com 不支援 TLSv1.3 以及 TLS_AES_256_GCM_SHA384的關係,
但是從ssllab的檢測結果看
https://ithelp.ithome.com.tw/upload/images/20221005/20128973BtYlOcqslI.png
https://www.ssllabs.com/ssltest/analyze.html?d=www.google.com&s=2607%3af8b0%3a4007%3a809%3a0%3a0%3a0%3a2004&hideResults=on&ignoreMismatch=on&latest
卻又能看到TLSv1.3 以及 TLS_AES_256_GCM_SHA384,
那麼到底為什麼會SSLHandshakeException呢

明天再繼續看


上一篇
D19/在WebSphere匯入ssl憑證(二)
下一篇
D21/在WebSphere加上trace log查找SSL問題
系列文
30天WebSphere入門及經驗分享36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言