配置HTTPS选项
根据您的环境,您可能不希望在安全控制台中使用默认的HTTPS选项。但是,请注意HTTPS选项的变化可能会导致以下结果:
- 可能会产生一个无效的配置,这将阻止web服务器启动,直到它被修复并重新启动。在此之前,用户将在浏览器中看到一个普通的连接错误。
- 一些API客户端可能太老了,无法使用现代协议和密码进行连接,从而导致TLS/SSL失败错误消息,并可能破坏正在使用的任何脚本。
- 第三方集成可能不支持现代协议或密码,并可能无法连接,从而导致TLS/SSL失败错误消息,并可能破坏正在使用的任何脚本。
这些更改不会影响扫描功能。
配置HTTPS选项
完成此步骤可更改默认的TLS和SSL配置。
修改HTTPS选项。
- 停止公开服务
- 在安全控制台中,转到
安装路径/ nsc /目录中。 - 找到
CustomEnvironment.properties文件。如果该文件不存在,则必须创建它。文件名和扩展名是区分大小写的。阅读更多关于这个过程的信息在这里. - 打开文件。出现默认配置。
- 决定以下哪种协议你想使用SSL/TLS:
- SSLv3
- SSLv2Hello
- TLSv1
- TLSv1.1
- TLSv1.2
- 如果要配置已启用的协议,请在文件中添加以下一行,协议之间用逗号分隔,不带空格。
com.rapid7.nexpose.nsc.sslEnabledProtocols = TLSv1 TLSv1.1 TLSv1.2
- 支持的协议仅限于Java 8:https://docs.oracle.com/javase/8/docs/technotes/guides/security/StandardNames.html#jssenames
- 要使用apache风格的语法配置启用的密码套件,请在文件中添加以下行:
com.rapid7.nexpose.nsc。sslEnabledCiphers = ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AE S256: ECDH + AES128: DH + AES: aNULL: MD5: !DSS
- 如果这些密码套件不适合,请查看Mozilla的其他建议:https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
- 保存文件。
- 重新启动公开服务。
了解更多
要阅读更多关于HTTPS选项的信息,请阅读以下Rapid7博客文章:
这个页面对你有帮助吗?