Proself2でFirefoxやChromeからSSL接続でエラーになる件の対応

以前仕事でつまづいたので備忘録。

Proselfの保証対象外バージョンのVer2を未だに使っている方、割とあるかと思うのですが、
Firefox、GoogleChromeでHTTPS接続時にセキュリティ関係のエラー（Diffie-Hellman関連）が出る場合の対策です。

メーカーへ対策を依頼しようにも、

・Proselfの保守に入っていない。
・そもそもProselfのVer2はかなり古く、メーカーではサポートされていない。

2015年時点の対策です。
今も一応問題なく動いていますが。

SSL証明書はSHA256を既に設置済みの前提です。
下記手順で解決できましたので、紹介します。

ちなみに、OSはCentOSです。

※参考にする場合は自己責任にてお願いします。

——————————

まずはTOMCATのバージョンを確認

# /usr/local/Proself2/bin/version.sh

1	# /usr/local/Proself2/bin/version.sh

※実行権限がない場合は、chmodで実行権限つけてコマンド実行

# chmod 744 /usr/local/Proself2/bin/version.sh

1	# chmod 744 /usr/local/Proself2/bin/version.sh

※デフォルトは”644”のため、実行後、元に戻しておく。

私はTOMCATは”Apache Tomcat/5.0.28”でした。
”ciphers”の設定が可能なバージョンであれば恐らく大丈夫です。

TOMCAT設定変更作業

# cd /usr/local/Proself2/conf
# cp -p /usr/local/Proself2/conf/server.xml /usr/local/Proself2/conf/server.xml.org
※server.xmlがTOMCATの設定ファイルのため、必ずバックアップをとる
※設定データを編集
# vi /usr/local/Proself2/conf/server.xml

# cd /usr/local/Proself2/conf

# cp -p /usr/local/Proself2/conf/server.xml /usr/local/Proself2/conf/server.xml.org

※server.xmlがTOMCATの設定ファイルのため、必ずバックアップをとる

※設定データを編集

# vi /usr/local/Proself2/conf/server.xml

※（１）の箇所を（２）に変更する。
※でくくることでコメントアウトできるので、（１）をコメントアウトし、（２）を追記すると間違いにくい。

（１）元の記述

<Connector port="443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl"/>

<Connector port="443"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" debug="0" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl"/>

（２）変更後の記述

<Connector port="443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl" />

<Connector port="443"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" debug="0" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"

URIEncoding="UTF-8" keypass="changeit" keystore="/usr/local/Proself2/conf/keystore.ssl" />

Proself2のシャットダウン

# /usr/local/Proself2/bin/shutdown.sh

1	# /usr/local/Proself2/bin/shutdown.sh

javaプロセスがまだ動いていないか確認する

# ps -ef | grep java

1	# ps -ef \| grep java

※javaのプロセスが稀に残る場合があるので、その場合は、killコマンドでプロセスを落とす。
javaプロセスが残ったままProselfを再起動すると、正常に起動しない。

Proself2起動

# /usr/local/Proself2/bin/startup.sh

1	# /usr/local/Proself2/bin/startup.sh

・Firefox、GoogleChromeでSSLアクセスし、正常に閲覧できるか、証明書内容は正しいか確認する。

ただ、Proself2はかなり昔のソフトで一緒に入るTOMCATもかなり古く、サーバーのファイアウォールやネットワークで上手にセキュリティ対策を施さないと脆弱だと思われるので、ユーザー数が多かったり、使用頻度が高い場合や、不特定の人が利用する環境の場合は、素直に最新版へバージョンアップする方が良いと思います。

参考になれば幸いです。