Aktuell kann es zu dem Problem kommen, das wenn man einen Citrix VDI Server mit einem Firefox Browser aufruft, die Meldung ssl_error_weak_server_ephemeral_dh_key erscheint. Nachfolgend besschreibt die mögliche Fehlerbehebung.
Achtung: Keine Garantie, dass die Änderungen nicht irgendwelche unvorhergesehenen Seiteneffekte haben! Von daher sollte man auch immer vorher Backups von veränderten Dateien anfertigen!
- Anmelden
- Ins Verzeichnis /home/kvm/kvm/install/servlet_container/conf wechseln
- Backup von server.xml anlegen
- Änderung in server.xml durchführen:
--- server.xml.20150714-1 2015-07-14 09:40:10.099385122 +0200 +++ server.xml 2015-07-14 09:45:13.803388485 +0200 @@ -64,7 +64,9 @@ connector should be using the OpenSSL style configuration described in the APR documentation --> <Connector port="${https.port}" protocol="HTTP/1.1" SSLEnabled="true" - ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA" + sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" + maxhttpheadersize="8192" enablelookups="false" disableuploadtimeout="true" + acceptCount="100" + ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" keystoreFile="conf/vdi.keystore" keystorePass="changeit" keystoreType="JKS"
- Server neu starten
Darf ich fragen auf welche VDI Platform sicht diese Anleitung bezieht?
Welche Chipher müssen genau deaktiviert werden?
https://support.mozilla.org/de/questions/1067995
Die Einstellungen habe ich auf diversen Seiten gefunden, die sich mit dem Problem beschäftigen. Beispiel: http://bestcodetips.com/fix-ssl_error_weak_server_ephemeral_dh_key/
Unter den Schlagwörtern „tomcat firefox ssl_error_weak_server_ephemeral_dh_key“ finden sich diverse Internet-Seiten, welche gleiche/vergleichbare Lösungen vorschlagen.
Ich beziehe mich auf Citrix VDI, die Anleitung sollte aber generell für alles gültig sein, was einen Tomcat Server ab Version 4.1.32 verwendet.