Java-Anwendungsserver AWS OpsWorks Ebene stapelt - AWS OpsWorks
Deaktivierung SSLv3 für Apache Server

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Java-Anwendungsserver AWS OpsWorks Ebene stapelt

Wichtig

Das Tool AWS OpsWorks Stacks Der Dienst hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an AWS Support Team ein AWS Re:post oder durch AWS Premium-Support.

Anmerkung

Diese Ebene steht nur für Linux-basierte Stacks zur Verfügung.

Die Java App Server-Schicht ist eine AWS OpsWorks Stacks-Layer, der einen Blueprint für Instanzen bereitstellt, die als Java-Anwendungsserver fungieren. Diese Schicht basiert auf Apache Tomcat 7.0 und Open 7. JDK AWS OpsWorks Stacks installiert auch die Java-Connector-Bibliothek, mit der Java-Apps mithilfe eines JDBC DataSource Objekts eine Verbindung zu einem Back-End-Datenspeicher herstellen können.

Installation: Tomcat wird installiert in /usr/share/tomcat7.

Auf der Seite Add Layer (Ebene hinzufügen) stehen folgende Konfigurationsoptionen zur Verfügung:

Java-VM-Optionen

Mit dieser Einstellung können Sie die benutzerdefinierten Java-VM-Optionen definieren. Es existieren keine Standard-Optionen. Ein oft verwendeter Optionssatz lautet -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC. Wenn Sie Java VM Options verwenden, stellen Sie sicher, dass Sie einen gültigen Satz von Optionen übergeben; AWS OpsWorks Stacks validiert die Zeichenfolge nicht. Wenn Sie versuchen, eine ungültige Option anzugeben, startet der Tomcat-Server in der Regel nicht, sodass die Einrichtung fehlschlägt. In diesem Fall können Sie dem Chef-Setup-Protokoll der Instance weitere Details entnehmen. Weitere Informationen zur Anzeige und Deutung der Chef-Protokolle finden Sie unter Chef-Protokolle.

Benutzerdefinierte Sicherheitsgruppen

Diese Einstellung wird angezeigt, wenn Sie sich dafür entschieden haben, eine integrierte Komponente nicht automatisch zuzuordnen AWS OpsWorks Kombiniert die Sicherheitsgruppe mit Ihren Ebenen. Sie müssen die mit der Ebene zu verknüpfende Sicherheitsgruppe angeben. Weitere Informationen finden Sie unter Erstellen eines neuen Stacks.

Elastic Load Balancer

Sie können einen Elastic Load Balancing Load Balancer an die Instances des Layers anhängen. Weitere Informationen finden Sie unter Elastic Load Balancing Lastenausgleichsebene.

Sie können andere Konfigurationseinstellungen angeben, indem Sie eine benutzerdefinierte Datei JSON oder eine Datei mit benutzerdefinierten Attributen verwenden. Weitere Informationen finden Sie unter Benutzerdefinierte Konfiguration.

Wichtig

Wenn Ihre Java-Anwendung dies verwendetSSL, empfehlen wir Ihnen, diese nach Möglichkeit zu deaktivierenSSLv3, um die in CVE-2014-3566 beschriebenen Sicherheitslücken zu beheben. Weitere Informationen finden Sie unter Deaktivierung SSLv3 für Apache Server.

Themen

Deaktivierung SSLv3 für Apache Server

Zum Deaktivieren SSLv3 müssen Sie die ssl.conf Dateieinstellungen des Apache-Servers ändern. SSLProtocol Dazu müssen Sie die ssl.conf.erb Vorlagendatei des integrierten Apache2-Kochbuchs überschreiben, die in den Setup-Rezepten des Java App Server-Layers erstellt wird. ssl.conf Die Details hängen davon ab, welches Betriebssystem Sie für die Ebenen-Instances angeben. Die folgende Übersicht zeigt die erforderlichen Änderungen für Amazon Linux- und Ubuntu-Systeme. SSLv3ist für Red Hat Enterprise Linux () RHEL -Systeme automatisch deaktiviert. Weitere Informationen zum Überschreiben einer integrierten Vorlage finden Sie unter Verwenden von benutzerdefinierten Vorlagen.

Amazon Linux

Die Datei ssl.conf.erb für diese Betriebssysteme befindet sich im Verzeichnis apache2 cookbook's apache2/templates/default/mods. Das folgende Beispiel zeigt den relevanten Teil der integrierten Datei.


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

Überschreiben Sie ssl.conf.erb und ändern Sie die SSLProtocol-Einstellung folgendermaßen.


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>
Ubuntu 14.04 LTS

Die Datei ssl.conf.erb für dieses Betriebssystem befindet sich im Verzeichnis apache2 cookbook's apache2/templates/ubuntu-14.04/mods. Das folgende Beispiel zeigt den relevanten Teil der integrierten Datei.


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

Ändern Sie diese Einstellung folgendermaßen.


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...