禁用嵌入Tomcat的弱密码

Question

我使用趋势微深度安全作为PCI DSS环境的一部分。问题是SSL证书使用了一个弱密码：

到这个站点的连接使用了一个强协议(TLS 1.2)、一个过时的密钥交换(RSA)和一个过时的密码(带有HMAC-SHA1 1的AES_128_CBC)。

该应用程序使用tomcat嵌入式版本，我正在寻找禁用弱密码的方法。我相信https://www.sslshopper.com/article-how-to-disable-weak-ciphers-and-ssl-2-in-tomcat.html是我需要做的，但是我找不到关于如何使用嵌入式verison来实现这个目的的任何细节？

Answer 1

定制嵌入式Tomcat的基本知识如例所示。Running A Spring Boot App (Embedded Tomcat) with SSL and Unencrypted Simultaneously

若要配置允许的密码，请添加如下内容：

SSLHostConfig[] sslHostConfigs = connector.findSslHostConfigs();
sslHostConfigs[0].setProtocols("TLSv1.2, TLSv1.1, TLSv1");
sslHostConfigs[0].setCiphers("TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256");

或者对于高于8.5的Tomcat版本：

NioEndpoint endpoint = protocol.getEndpoint();
endpoint.setSslEnabledProtocols(...);
endpoint.setCiphers(...);