配置eSight使用的TLS协议版本
eSight默认支持使用TLSv1.1和TLSv1.2协议访问eSight客户端,用户可以根据需要配置eSight使用的TLS协议版本。TLSv1是不安全协议,默认关闭,使用TLSv1会有一定的安全风险,建议您使用更安全的TLSv1.1和TLSv1.2协议。
背景信息
eSight中涉及TLS协议的配置文件有以下6个:
- certificate.conf
- roa.inst.xml
- sso.xml
- med_node_1_svc.xml
- ros.xml
- Mediation_1_svc.xml
如需配置eSight使用的TLS协议版本,请按照本节指导修改对应配置文件。
操作步骤
- 停止eSight。
- 修改以下配置文件中的配置项。
请使用ossuser用户修改。双机情况下,主备机上都需要修改。
- 启用TLSv1:
配置文件
配置项名称
配置项设置
eSight安装目录/AppBase/sysagent/etc/sysconf/svcbase/med_node_1_svc.xml
ssl.protocol
缺省值为“TLSv1.1,TLSv1.2”,修改为“TLSv1,TLSv1.1,TLSv1.2”。
- 禁用TLSv1.1,仅使用TLSv1.2:
配置文件
配置项名称
配置项设置
eSight安装目录/AppBase/3rdparty/nginx/conf/certificate.conf
ssl_protocols
缺省值为“TLSv1.1 TLSv1.2”,修改为“TLSv1.2”。
eSight安装目录/mttools/etc/iemp.framework/roa.inst.xml
ssl.protocol
缺省值为“SSLv2Hello;TLSv1.1;TLSv1.2”,修改为“SSLv2Hello;TLSv1.2”。
说明:- SSLv2Hello存在安全风险,不建议使用这种协议。
- 如果仅配置为TLSv1.2,JRE1.7对部分算法不支持,需要使用JRE1.8或以上版本。
eSight安装目录/AppBase/etc/oms.sso/sso.xml
sslProtocols
缺省值为“TLSv1.1,TLSv1.2”,修改为“SSLv2Hello,TLSv1.2”。
说明:- SSLv2Hello存在安全风险,不建议使用这种协议。
- 如果仅配置为TLSv1.2,JRE1.7对部分算法不支持,需要使用JRE1.8或以上版本。
eSight安装目录/AppBase/sysagent/etc/sysconf/svcbase/med_node_1_svc.xml
ssl.protocol
缺省值为“TLSv1.1,TLSv1.2”,修改为“TLSv1.2”。
eSight安装目录/AppBase/etc/oms.ros/ros.xml
ssl.protocol
缺省值为空,修改为“TLSv1.2”。
说明:如果配置文件中,无该配置项,说明使用TLSv1.1和TLSv1.2。若要修改,需要手工添加此配置项,如图10-1所示。
eSight安装目录/AppBase/sysagent/etc/sysconf/svcbase/Mediation_1_svc.xml
sslProtocols
缺省值为“TLSv1.1, TLSv1.2”,修改为“TLSv1.2”。
- 启用TLSv1:
- 重新启动eSight。
后续处理
修改eSight使用的TLS协议版本后,需要确保客户端浏览器开启了相应的TLS协议。Firefox和Chrome浏览器默认开启TLS协议,IE浏览器设置方法如下:
- 打开客户端浏览器。
- 在浏览器菜单栏中选择“工具 > Internet选项”。
如果看不到菜单栏,可按“Alt”显示
- 在“Internet选项”对话框的“高级”页签中,选中需要使用的协议,然后单击“确定”。
- 如果eSight仅使用TLSv1.2,只需要选中“使用TLS 1.2”。
- 如果eSight使用TLSv1.1和TLSv1.2,需要选中“使用TLS 1.1”和“使用TLS 1.2”。
