`
guohf
  • 浏览: 417567 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

常见WebServer开启HTTPS并关闭SSLv3

 
阅读更多

前段时间爆出“OpenSSL Heartbleed”与“SSLv3中间人攻击”漏洞,为了快速搭建常见WebServer(Nginx、Apache、Tomcat)的HTTPS测试环境以及关闭SSLv3,笔者Mark4z5整理了一份文档。

 
一、Nginx配置HTTPS
1、安装Nginx

wget http://nginx.org/download/nginx-1.7.1.tar.gz

tar zxvf nginx-1.7.1.tar.gz

cd nginx-1.7.1/

./configure --with-http_ssl_module --prefix=/usr/local/nginx; make; make install

 

2、开启SSL/TLS

 

mkdir /usr/local/nginx/sslkey

cd /usr/local/nginx/sslkey

openssl genrsa -out key.pem 2048

openssl req -new -x509 -nodes -out server.crt -keyout server.key

#一直按回车,什么都不填

 

 

vi /usr/local/nginx/conf/nginx.conf

#去掉HTTPS server相关配置注释并修改文件路径(如下图)

常见WebServer开启HTTPS并关闭SSLv3

 

/usr/local/nginx/sbin/nginx

#启动nginx,此时nginx监听http80)和https443

 

常见WebServer开启HTTPS并关闭SSLv3

 

3、关闭SSLv3

 

vi /usr/local/nginx/conf/nginx.conf

#加上配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2;(如下图)

常见WebServer开启HTTPS并关闭SSLv3

注:隐性默认是SSLv3 TLSv1 TLSv1.1 TLSv1.2

 

/usr/local/nginx/sbin/nginx -s reload

#重启nginx生效

 

 

 

二、 Apache配置HTTPS

1、安装Apache

wget http://apache.dataguru.cn//httpd/httpd-2.2.27.tar.gz

tar zxvf httpd-2.2.27.tar.gz

cd httpd-2.2.27

./configure --enable-ssl --prefix=/usr/local/apache; make; make install

 

2、开启SSL/TLS

cd /usr/local/apache/conf

openssl genrsa -out key.pem 2048

openssl req -new -x509 -nodes -out server.crt -keyout server.key

#一直按回车,什么都不填

 

 

vi /usr/local/apache/conf/httpd.conf

#去掉Include conf/extra/httpd-ssl.conf注释(如下图)

常见WebServer开启HTTPS并关闭SSLv3

 

/usr/local/apache/bin/httpd

#启动apache,此时apache监听http80)和https443

 

常见WebServer开启HTTPS并关闭SSLv3

 

3、关闭SSLv3

vi /usr/local/apache/conf/extra/httpd-ssl.conf

#原有配置SSLProtocol all -SSLv2,需修改为SSLProtocol all -SSLv2 -SSLv3(如下图)

 

常见WebServer开启HTTPS并关闭SSLv3

注:显性默认支持SSLv3 TLSv1 TLSv1.1 TLSv1.2

 

killall -9 httpd

/usr/local/apache/bin/httpd

#重启apache生效

 

 

三、Tomcat配置HTTPS

1、开启SSL/TLS

 

wget http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.54/bin/apache-tomcat-7.0.54.zip

unzip apache-tomcat-7.0.54.zip

cp -R apache-tomcat-7.0.54 /usr/local/tomcat

keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/tomcat/keystore

#生成key文件,密码填写123456(如下图)

常见WebServer开启HTTPS并关闭SSLv3

 

vi /usr/local/tomcat/conf/server.xml

#添加SSL配置(如下图)

 

           port="8443" maxThreads="200"

           scheme="https" secure="true" SSLEnabled="true"

           keystoreFile="/usr/local/tomcat/keystore" keystorePass="123456"

           clientAuth="false" sslProtocol="TLS"

/>

 

常见WebServer开启HTTPS并关闭SSLv3

 

chmod +x /usr/local/tomcat/bin/*sh

/usr/local/tomcat/bin/startup.sh

#启动tomcat,此时tomcat监听http8080)和https8443

 

常见WebServer开启HTTPS并关闭SSLv3

 

2、关闭SSLv3

vi /usr/local/tomcat/conf/server.xml

#加上配置sslEnabledProtocols="TLSv1"(如下图)

 

常见WebServer开启HTTPS并关闭SSLv3

注:隐性默认是SSLv3,TLSv1.0

 

/usr/local/tomcat/bin/shutdown.sh

/usr/local/tomcat/bin/startup.sh

#重启tomcat生效

 

分享到:
评论

相关推荐

    Opera7.23-SSLv3 https可以使用的浏览器

    标题“Opera7.23-SSLv3 https可以使用的浏览器”揭示了一个关于旧版Opera浏览器的知识点,即Opera 7.23版本支持SSLv3协议。SSL(Secure Socket Layer)是网络安全传输的一种协议,主要负责在客户端和服务器之间建立...

    TLS & SSLv3 renegotiation

    ### TLS与SSLv3重协商漏洞详解 #### 概述 本文主要介绍了一种影响广泛的安全漏洞——TLS和SSLv3协议中的重协商(renegotiation)漏洞。该漏洞由Marsh Ray、Steve Dispensa和Martin Rex于2009年11月9日首次公开,并...

    ruby运行出错汇总2 -证书出错-ruby SSL_connect returned=1 errno=0 state=SSLv3 read server ce

    NULL 博文链接:https://angelguo.iteye.com/blog/2282002

    sslv2check2.zip

    SSLv2Check2.zip是一个与网络安全相关的压缩包文件,主要用于使用Go语言调用SSLYze工具来检测系统是否启用了不安全的SSL 2.0协议。SSLYze是一款强大的网络安全扫描工具,它能帮助管理员识别出服务器配置中的潜在安全...

    ssl协议交互报文_webserver_源码

    在嵌入式系统中,支持SSLv3协议的Web服务器可以让小型设备也能提供安全的Web服务。 首先,我们来详细了解一下SSL协议的交互过程,它主要包括以下几个步骤: 1. **握手阶段**: - 客户端向服务器发送一个"Client ...

    为tomcat服务器配置https,tomcat需要设置的server.xml与web.xml配置

    - `sslProtocol`:通常设置为“TLS”或“SSLv3”,但推荐使用较新的TLS版本。 接下来,如果需要修改`web.xml`,主要是为了强制所有HTTP请求重定向到HTTPS。添加或更新以下代码: ```xml <web-resource-...

    sslv3-diediedie:为什么 SSLv3 不是一个好主意

    SSLv3 不安全 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您对此不熟悉,您可能还想阅读之。 请注意,对规范的所有贡献都属于下面概述的“注意事项”条款。 提供反馈(编辑或设计)和提问的最佳...

    IBM http server 启用SSL

    在管理控制台中,你需要对虚拟主机进行配置,确保`default_host`支持443端口,并更新WEB服务器插件。最后,重启Websphere,启动IBM HTTP Server,通过访问`https://localhost/snoop`测试SSL配置是否成功。 至于SSL...

    确保Linux系统安全的好办法

    Linux操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择Linux作为首先攻击的对象。本文介绍了一些防范Linux安全的几则措施。如:禁止使用Ping命令、注意对系统及时备份、改进登录服务器、取消...

    基于SSLv3协议的双层代理系统的设计 (2006年)

    主要对SSLv3协议的加密技术和安全机制进行了介绍,并利用SSLv3协议和双层代理相结合的方式构建了一个基于C/S结构的安全连接系统,该系统利用jdk1.5的JSSE类函数,以及openssl工具实现了服务器与客户的双向认证;...

    shttpd-1.38.tar http服务端源码(c语言版本)

    shttpd-1.38.tar是一款比较小巧的http server,完全是...由于shttpd可以嵌入其他软件,因此可以非常容易的开发嵌入式系统的web server,官方网站上称shttpd如果使用uclibc/dielibc(libc的简化子集)则开销将非常非常低。

    jdk1.6无法使用安全套接字层(SSL)加密连接sqlserver数据库

    解决jdk1.6连接sqlserver:驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。内含readme文档。根据大神源码打包,本人项目使用无问题,如果对你有帮助的话可以给个好评。

    POODLE-simulation:SSLv3上的POODLE漏洞模拟

    在纸上将您实现为尝试利用此漏洞的攻击者,并解释您的代码及其细微差别代码poodle.py包含带有sslv3协议的加密/解密功能。 并进一步演示了对协议的狮子狗攻击。 代码已被很好地记录下来,控制台上的打印输出可帮助您...

    ssl漏洞检查

    POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh...

    openssl-1.1.0f.tar.gz

    在1.1.0f版本中,这些功能得到了增强和优化,包括对SSLv2和SSLv3的支持被默认禁用,以提高安全性,这是对不断演变的网络安全威胁的回应。TLS 1.3协议的改进也在这个版本中得到体现,它提供了更快的连接速度和更强的...

    sslv_web_scraper:Web抓取应用程序,可帮助自动从分类信息和电子邮件结果中解析和过滤信息

    关于sslv_web_scraper应用程序: 目的:该应用程序将从您选择的特定城市中的ss.lv网站上的待售公寓类别中解析信息,并将按您的条件过滤的报告发送到您的Gmail地址 如何使用应用程序: 使用您的电子邮件地址和密码...

    squeeze-lighttpd-poodle:向后移植以允许在 Debian Squeeze 版本的 lighttpd 中禁用 SSLv3

    Debian Squeeze 的 lighttpd 贵宾犬第一版 (1.6.1) 补丁以启用ssl.use-sslv3配置选项,以允许 Debian Squeeze 用户解决 CVE-2014-3566... 剥离到准系统并进行调整以制作更轻且希望更便携的补丁不支持ssl.use-sslv3配

    google-search-results-java:谷歌搜索结果采集

    - 运行环境:Java / JDK 8+(较旧版本的 Java 不支持 HTTPS 协议,SSLv3 有问题,导致 Java 引发 javax.net.ssl.SSLHandshakeException 异常)。 - 开发环境:Gradle 6.7+。 快速开始: - 在 Java 中开始这个项目。...

    Delphi Https-Post

    SSLv3(Secure Sockets Layer Version 3)是SSL协议的一个早期版本,虽然现在已经被更安全的TLS协议替代,但在某些老系统中可能仍被使用。 在Delphi中,实现HTTPS POST请求可以利用WinINet库,这是一个内置的...

Global site tag (gtag.js) - Google Analytics