TLS握手密码列表

时间:2013-10-01 16:01:08

标签: apache ssl jboss encryption

我对TLS初始握手有疑问。 (我不是专家,所以我喜欢一个容易理解的解释)。

根据维基百科:

*谈判阶段:

  1. 客户端发送ClientHello消息,指定它支持的最高TLS协议版本,随机数,建议的密码套件列表和压缩方法。
  2. 服务器使用ServerHello消息进行响应,该消息包含所选协议版本,随机数,密码套件和客户端提供的选项中的压缩方法。服务器还可以发送会话ID作为消息的一部分以执行恢复握手。*

    3. 我要做的是更改ClientHello阶段发送的密码列表(使其仅包含128位+密码)。

    当客户端将ClientHello消息发送到我的服务器(jboss)时,我可以通过使用server.xml文件并添加类似

    的内容来限制jboss可以处理的密码 
    ciphers="DHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,DHE-RSA-CAMELLIA256-SHA,DHE-DSS-CAMELLIA256-SHA,AES256-SHA,CAMELLIA256-SHA,PSK-AES256-CBC-SHA,EDH-RSA-DES-CBC3-SHA,EDH-DSS-DES-CBC3-SHA,DES-CBC3-SHA,PSK-3DES-EDE-CBC-SHA,DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,DHE-RSA-CAMELLIA128-SHA,DHE-DSS-CAMELLIA128-SHA,AES128-SHA,CAMELLIA128-SHA,PSK-AES128-CBC-SHA"

    我想知道,当我的服务器联系另一台服务器(因此就像客户端一样)时,这是否已足够,并开始握手本身。

    感谢您的时间

1 个答案:

答案 0 :(得分:2)

不,不是。 server.xml定义服务器连接器的行为,而不是SSL客户端。您必须在自己的SSLSocket或HttpsURLConnection上设置启用的密码套件,或者用作客户端连接的任何密码套件。

相关问题
最新问题