Chrome 45和Firefox 39(SSL)
错误:
在HTTPS中连接OpManager时,在Chrome 45和Firefox 39中收到消息ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY错误,这是由于密码强度弱(小于1024-位)引起的。
另外:对于SWEET32漏洞,可以遵循相同的步骤,在此我们需要禁用 较弱的64位块3DES密码
ManageEngine安全团队的免责声明
禁用较弱的密码将影响Internet Explorer 6、7和8用户,这些用户视操作系统而定,不支持AES,并将使用3DES密码进行协商。
由于IE使用依赖于操作系统的加密库“schannel”,因此我们需要在禁用较弱的密码之前确保客户环境中没有较旧的客户端(在Windows Vista中,schannel支持AES,但在Windows XP中不支持AES)。
解决方案(11.6或更低版本)
从\OpManager\tomcat\conf\backup\文件夹中编辑ssl_server.xml,在sslProtocol="TLS"附近添加以下密码并保存更改。稍后停止并启动OpManager服务,以使更改生效。
ciphers="TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
例子:
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="WEBNMS_ROOT_DIR/conf/OPMTrans.key" keystorePass="opmanager" maxThreads="150" minSpareThreads="3" noCompressionUserAgents="gozilla, traviata" port="WEBSERVER_PORT" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS" ciphers="TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
对于12000及更高版本(文件位置已更改)
从\ opmanager \ server_xml_bkp \文件夹中编辑ssl_server.xml并添加与上述相同的密码。将文件另存为server.xml,并放在/opmanager/conf文件夹下。
停止并启动OpManager,以使更改生效。
Related Articles
在Chrome上启用Password Manager Pro的浏览器扩展程序
此文主要应对Chrome在中国无法访问扩展程序商店,无法使用Password Manager Pro浏览器扩展的情况 参考以下步骤,在Chrome浏览器上,启用PMP浏览器扩展程序: 下载并解压附件(Chrome.zip) 点击Chrome浏览器的菜单图标 选择更多工具--> 扩展程序 如果当前Chrome中有PMP扩展程序,则先将其禁用 点击右上角的启用开发者模式,并点击加载已解压的扩展程序 选择文件夹并点击确认如何通过SSL添加WebLogic监视器?
要使用SSL端口监控WebLogic服务器,您必须将SSL证书加载到Applications Manager。按照以下步骤在Applications Manager中加载SSL证书: 使用WeblogicCerificate.sh/bat文件将证书加载到Applications Manager。 此脚本文件位于<Applications Manager HOME>/bin 目录下。 执行以下命令: Linux : WeblogicCerificate.sh [import] ...如何导入使用SSL身份验证来监控Websphere应用服务器的证书?
对于使用Applications Manager 14250及以下版本的用户: .cer格式的客户端证书 1. 使用“以管理员身份运行”选项打开命令提示符并导航到Applications Manager的安装目录。 2. 将受信任的CA证书导入AppManager_Home\working\jre\lib\security\cacerts(如果是插件版本,请导入AppManager_Home\working\conf\Truststore.truststore) ...【OPM】SSL证书过期后如何重新生成
SSL证书过期后如何重新生成 操作方式: 编辑 --> 自签名证书 -->创建 --> 重启OPM服务 重启服务后,证书时间更新。 若使用APM插件,APM使用的SSL证书会一同更新。 该方式适用于OPM12.7.100及以上版本。在OpManager v12.3.181及更高的企业版本安装中(针对中央和探针)启用自签名SSL
1.导航到设置-- >基本设置-- >安全设置-- > SSL配置-- >启用安全模式(遵循的步骤适用于中心和探针)。 2.启用安全模式后,系统将提示您从三个选项中进行选择,在这种情况下,我们将选择自签名证书(遵循的步骤适用于中心和探针)。 3.在探针主页目录/conf/OpManager/CommunicationInfo.xml中编辑Initlmpl参数,从 ...