如何在 WildFly 中启用某些密码套件？

Question

我想在我的 WildFly 应用服务器上显式启用某些密码套件。 因此我尝试在wildflys standalone.xml中编辑配置。

假设我想启用 AES128-GCM-SHA256 密码（密码套件名称来自：OpenSSL documentation）。

我已经像这样编辑了 WildFly 服务器的standalone.xml 文件：

<https-listener name="listener" socket-binding="https" security-realm="ssl-realm" enabled-cipher-suites="AES128-GCM-SHA256"/>

WildFly 正常启动，但是当我在浏览器中打开页面时出现错误消息。 铬说：

ERR_SSL_PROTOCOL_ERROR

火狐说：

ssl_error_internal_error_alert

我已经在 WildFly 8.1 和 8.2 上尝试过。

有谁能给我建议如何正确启用某些密码套件？

问候汤姆

Answer 1

您必须在“subsystem undertow”->“server”中的“https-listener”中添加一个名为“enabled-cipher-suites”的属性。 可以在here 找到此配置的示例。

不幸的是，这个例子在涉及到这个属性的值时是错误的。您不能将诸如“ALL:!MD5:!DHA”之类的东西命名为一些明确的密码套件。

您必须通过它们的 SSL 或 TLS 密码套件名称而不是它们的 OpenSSL 名称来调用 em。 因此，您必须编写“TLS_RSA_WITH_AES_128_GCM_SHA256”，而不是“AES128-GCM-SHA256”。

如果要命名多个套件，则必须使用“，”而不是“：”作为分隔符，以使混淆更完整。

问候 本

Answer 2

我可以确认本的回答。关于如何配置它的文档很少。我建议支持以下密码： TLS_RSA_WITH_AES_128_GCM_SHA256， TLS_DHE_RSA_WITH_AES_128_GCM_SHA256， TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 此外，“ALL”标签不起作用，最好的方法是列出您希望包含的标签，而不是您希望排除的标签“！”似乎不支持标记。