Tomcat 6 ERR_SSL_VERSION_OR_CIPHER_MISMATCH / ssl_error_no_cypher_overlap答案

【问题标题】：Tomcat 6 ERR_SSL_VERSION_OR_CIPHER_MISMATCH / ssl_error_no_cypher_overlapTomcat 6 ERR_SSL_VERSION_OR_CIPHER_MISMATCH / ssl_error_no_cypher_overlap
【发布时间】：2013-01-16 16:15:52
【问题描述】：

我无法使用浏览器访问启用 SSL/TLS 的 tomcat-6.0.36-windows-x64 服务器。它适用于 openssl 但不适用于任何浏览器。

初始化看起来不错：

16.01.2013 16:45:09 org.apache.coyote.http11.Http11AprProtocol init

INFO: Initializing Coyote HTTP/1.1 on http-8443

还有openSSL： openssl s_client -tls1 -connect localhost:8443: 结果：

New, TLSv1/SSLv3, Cipher is ECDH-ECDSA-AES256-SHA

Server public key is 256 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

Protocol  : TLSv1

Cipher : ECDH-ECDSA-AES256-SHA

只有网络浏览器不工作：

Firefox 15.0.1 说：ssl_error_no_cypher_overlap

Chrome 24.0.1312.52 m：ERR_SSL_VERSION_OR_CIPHER_MISMATCH

这就是tomcat的配置：

Connector port="8443" maxHttpHeaderSize="8192" protocol="org.apache.coyote.http11.Http11AprProtocol" maxThreads="150" scheme="https" secure="true" SSLProtocol="all" enableLookups="false" disableUploadTimeout="true" acceptCount="100" SSLEnabled="true" SSLCertificateFile="../ecc_servercert.crt" SSLCertificateKeyFile="../ec_serverkey.pem"

证书基于黄道曲线算法：

openssl ecparam -out c:\ecc\ec_serverkey.pem -name secp256k1 -genkey

openssl req -new -x509 -nodes -days 365 -key c:\ecc\ec_serverkey.pem -out c:\ecc\ecc_servercert.crt

希望有人有想法？根据几个小时的搜索，浏览器应该支持这个配置......

拉加兹，托比

【问题讨论】：

标签： tomcat6 encryption mismatch

【解决方案1】：

ashiii 不正确，是因为 chrome 或 firefox 不支持 ecc 曲线secp256k1。

prime256v1 和 secp384r1 是不错的选择。见http://security.stackexchange.com/questions/78621/which-elliptic-curve-should-i-use

【讨论】：

【解决方案2】：

我认为有两种可能：

要么你使用 APR 连接器和 Tomcat 本地库，所以它会抛出错误。（更多信息：http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto. html#Edit_the_Tomcat_Configuration_File)
或者您对 http 和 https 使用相同的端口：在您的连接器中，您使用通常用于 http 的 8443。（您是否尝试过使用 port="443" 而不是 "8443"？）

【讨论】：

这实际上是浏览器 ecc 支持和 tomcats dcc 配置的滞后。 openssl 更容错。但你只给了答案，所以你得到了绿色的 Ok :-)