Proself2でFirefoxやChromeからSSL接続でエラーになる件の対応
以前仕事でつまづいたので備忘録。
Proselfの保証対象外バージョンのVer2を未だに使っている方、割とあるかと思うのですが、
Firefox、GoogleChromeでHTTPS接続時にセキュリティ関係のエラー(Diffie-Hellman関連)が出る場合の対策です。
メーカーへ対策を依頼しようにも、
・Proselfの保守に入っていない。
・そもそもProselfのVer2はかなり古く、メーカーではサポートされていない。
2015年時点の対策です。
今も一応問題なく動いていますが。
SSL証明書はSHA256を既に設置済みの前提です。
下記手順で解決できましたので、紹介します。
ちなみに、OSはCentOSです。
※参考にする場合は自己責任にてお願いします。
——————————
まずはTOMCATのバージョンを確認
1 |
# /usr/local/Proself2/bin/version.sh |
※実行権限がない場合は、chmodで実行権限つけてコマンド実行
1 |
# chmod 744 /usr/local/Proself2/bin/version.sh |
※デフォルトは”644”のため、実行後、元に戻しておく。
私はTOMCATは”Apache Tomcat/5.0.28”でした。
”ciphers”の設定が可能なバージョンであれば恐らく大丈夫です。
TOMCAT設定変更作業
1 2 3 4 5 |
# cd /usr/local/Proself2/conf # cp -p /usr/local/Proself2/conf/server.xml /usr/local/Proself2/conf/server.xml.org ※server.xmlがTOMCATの設定ファイルのため、必ずバックアップをとる ※設定データを編集 # vi /usr/local/Proself2/conf/server.xml |
※(1)の箇所を(2)に変更する。
※でくくることでコメントアウトできるので、(1)をコメントアウトし、(2)を追記すると間違いにくい。
(1)元の記述
1 2 3 4 5 |
<Connector port="443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl"/> |
(2)変更後の記述
1 2 3 4 5 6 |
<Connector port="443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl" /> |
Proself2のシャットダウン
1 |
# /usr/local/Proself2/bin/shutdown.sh |
javaプロセスがまだ動いていないか確認する
1 |
# ps -ef | grep java |
※javaのプロセスが稀に残る場合があるので、その場合は、killコマンドでプロセスを落とす。
javaプロセスが残ったままProselfを再起動すると、正常に起動しない。
Proself2起動
1 |
# /usr/local/Proself2/bin/startup.sh |
・Firefox、GoogleChromeでSSLアクセスし、正常に閲覧できるか、証明書内容は正しいか確認する。
ただ、Proself2はかなり昔のソフトで一緒に入るTOMCATもかなり古く、サーバーのファイアウォールやネットワークで上手にセキュリティ対策を施さないと脆弱だと思われるので、ユーザー数が多かったり、使用頻度が高い場合や、不特定の人が利用する環境の場合は、素直に最新版へバージョンアップする方が良いと思います。
参考になれば幸いです。