... |
... |
@@ -94,15 +94,15 @@ |
94 |
94 |
|
95 |
95 |
==Einschränken auf bestimmte TLS-Versionen== |
96 |
96 |
|
97 |
|
-Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.1 und 1.2 zulässt, könnte wie folgt aussehen: |
|
97 |
+Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.2 und 1.3 zulässt, könnte wie folgt aussehen: |
98 |
98 |
|
99 |
99 |
{{code}} |
100 |
100 |
<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" |
101 |
|
- URIEncoding="UTF-8" |
102 |
|
- maxHttpHeaderSize="65536" |
|
101 |
+ URIEncoding="UTF-8" |
|
102 |
+ maxHttpHeaderSize="65536" |
103 |
103 |
maxPostSize="10485760" |
104 |
104 |
relaxedQueryChars="[ \ ] ^ ` { | }"> |
105 |
|
- <SSLHostConfig protocols="TLSv1.1+TLSv1.2" sslProtocol="TLSv1.1+TLSv1.2"> |
|
105 |
+ <SSLHostConfig protocols="TLSv1.2+TLSv1.3"> |
106 |
106 |
<Certificate certificateKeyFile="conf/private.key" |
107 |
107 |
certificateFile="conf/zertifikat.crt" |
108 |
108 |
certificateChainFile="conf/CHAIN.pem" |
... |
... |
@@ -111,8 +111,31 @@ |
111 |
111 |
</Connector> |
112 |
112 |
{{/code}} |
113 |
113 |
|
|
114 |
+==Einschränken auf bestimmte TLS-Ciphers== |
|
115 |
+ |
114 |
114 |
Falls zusätzlich eine Einschränkung der möglichen Verschlüsselungsalgorithmen gewünscht wird, kann diese mit dem Attribut //ciphers// vorgenommen werden. |
115 |
115 |
|
|
118 |
+{{velocity}} |
|
119 |
+##{{panel title="Beispiel für die manuelle Konfiguration der unterstützten Ciphers" triggerable="true" initial="hidden"}} |
|
120 |
+##{{/panel}} |
|
121 |
+{{/velocity}} |
|
122 |
+Das folgende Beispiel ist keine Sicherheitsempfehlung. Es dient lediglich zur Veranschaulichung, wie eine Konfiguration aussehen könnte: |
|
123 |
+ |
|
124 |
+{{code}} |
|
125 |
+<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" |
|
126 |
+ URIEncoding="UTF-8" |
|
127 |
+ maxHttpHeaderSize="65536" |
|
128 |
+ maxPostSize="10485760" |
|
129 |
+ relaxedQueryChars="[ \ ] ^ ` { | }"> |
|
130 |
+ <SSLHostConfig protocols="TLSv1.2+TLSv1.3"> |
|
131 |
+ <Certificate certificateKeyFile="conf/private.key" |
|
132 |
+ certificateFile="conf/zertifikat.crt" |
|
133 |
+ certificateChainFile="conf/CHAIN.pem" |
|
134 |
+ type="RSA" ></Certificate> |
|
135 |
+ </SSLHostConfig> |
|
136 |
+</Connector> |
|
137 |
+{{/code}} |
|
138 |
+ |
116 |
116 |
Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]] |
117 |
117 |
|
118 |
118 |
==Erzwingen von HTTPS== |