... |
... |
@@ -94,15 +94,15 @@ |
94 |
94 |
|
95 |
95 |
==Einschränken auf bestimmte TLS-Versionen== |
96 |
96 |
|
97 |
|
-Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.2 und 1.3 zulässt, könnte wie folgt aussehen: |
|
97 |
+Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.1 und 1.2 zulässt, könnte wie folgt aussehen: |
98 |
98 |
|
99 |
99 |
{{code}} |
100 |
100 |
<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" |
101 |
|
- URIEncoding="UTF-8" |
102 |
|
- maxHttpHeaderSize="65536" |
|
101 |
+ URIEncoding="UTF-8" |
|
102 |
+ maxHttpHeaderSize="65536" |
103 |
103 |
maxPostSize="10485760" |
104 |
104 |
relaxedQueryChars="[ \ ] ^ ` { | }"> |
105 |
|
- <SSLHostConfig protocols="TLSv1.2+TLSv1.3"> |
|
105 |
+ <SSLHostConfig protocols="TLSv1.1+TLSv1.2" sslProtocol="TLSv1.1+TLSv1.2"> |
106 |
106 |
<Certificate certificateKeyFile="conf/private.key" |
107 |
107 |
certificateFile="conf/zertifikat.crt" |
108 |
108 |
certificateChainFile="conf/CHAIN.pem" |
... |
... |
@@ -111,28 +111,8 @@ |
111 |
111 |
</Connector> |
112 |
112 |
{{/code}} |
113 |
113 |
|
114 |
|
-==Einschränken auf bestimmte TLS-Ciphers== |
115 |
|
- |
116 |
116 |
Falls zusätzlich eine Einschränkung der möglichen Verschlüsselungsalgorithmen gewünscht wird, kann diese mit dem Attribut //ciphers// vorgenommen werden. |
117 |
117 |
|
118 |
|
-{{panel title="Beispiel Manuelle Konfiguration der unterstützten Ciphers" triggerable="true" initial="hidden"}} |
119 |
|
-Das folgende Beispiel ist keine Sicherheitsempfehlung. Es dient lediglich zur Veranschaulichung, wie eine Konfiguration aussehen könnte: |
120 |
|
-{{code}} |
121 |
|
-<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" |
122 |
|
- URIEncoding="UTF-8" |
123 |
|
- maxHttpHeaderSize="65536" |
124 |
|
- maxPostSize="10485760" |
125 |
|
- relaxedQueryChars="[ \ ] ^ ` { | }"> |
126 |
|
- <SSLHostConfig protocols="TLSv1.2+TLSv1.3" ciphers="TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_CCM,TLS_DHE_RSA_WITH_AES_128_CCM_8,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_CCM,TLS_DHE_RSA_WITH_AES_256_CCM_8,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256"> |
127 |
|
- <Certificate certificateKeyFile="conf/private.key" |
128 |
|
- certificateFile="conf/zertifikat.crt" |
129 |
|
- certificateChainFile="conf/CHAIN.pem" |
130 |
|
- type="RSA" ></Certificate> |
131 |
|
- </SSLHostConfig> |
132 |
|
-</Connector> |
133 |
|
-{{/code}} |
134 |
|
-{{/panel}} |
135 |
|
- |
136 |
136 |
Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]] |
137 |
137 |
|
138 |
138 |
==Erzwingen von HTTPS== |