Назад | Перейти на главную страницу

Поддержка SSL Weblogic: 12C отказался от поддержки SHA1?

Мы работаем с организацией, в которой работает Weblogic 10.3. Когда мы обновились до сертификата SHA2, они больше не могли связываться с нашей конечной точкой REST. (Нам пришлось вернуться к SHA1, который сейчас трудно получить!)

Они планируют обновление до Weblogic 12 (я думаю, что это «12C») и сообщают, что не смогут поддерживать SHA1 на этом этапе, что вынуждает нас переносить сертификаты в одно и то же время (что, похоже, требует беда).

Это звучит правильно?

(IOW: есть ли простой способ поддержки SHA2 / 256 на 10.3? Есть ли простой способ поддержки SHA1 на 12C?)

Microsoft и Google объявили о планах прекращения поддержки SHA-1, которые могут повлиять на веб-сайты с сертификатами SHA-1, срок действия которых истекает уже после 31 декабря 2015 года.

Сертификаты могут быть созданы с помощью различных «алгоритмов хеширования», включая

1) SHA1: 160-битный хеш

2) SHA2: семейство двух похожих хэш-функций с разными размерами блоков, известных как SHA-256 и SHA-512 (это более новый алгоритм).

До недавнего времени в WebLogic поддерживался только алгоритм SHA1. Но начиная с WebLogic 10.3.3, также поддерживается алгоритм SHA2.

Если вы хотите использовать сертификат с хеш-алгоритмом SHA2, вам необходимо включить JSSE SSL (который доверяет более сильным сертификатам, таким как SHA2).

Oracle настоятельно рекомендует обновиться до последнего пакета обслуживания WebLogic и последнего исправления JDK, поскольку есть некоторые известные проблемы с JSSE SSL и более низкими пакетами обслуживания WebLogic и исправлениями Java. Вы должны использовать как минимум WebLogic 10.3.6.

Вы можете проверить Часто задаваемые вопросы о сертификатах SSL на WebLogic в официальной документации выше на Oracle Metalink (support.oracle.com)

SHA2 (SHA256 и т. Д.) Поддерживается из weblogic 11g (10.3.6), но сертификаты будут работать только с реализацией JSSE (-Dweblogic.security.SSL.enableJSSE = true).

Сертификаты и шифровальные наборы SHA2 поддерживаются в WLS 12.1.X в следующих случаях:

WLS 12.1.1 с JDK 7 и JSSE, включенными с использованием поставщика JDK Sun JSSE (по умолчанию) или поставщика RSA JSSE WLS 12.1.1 с JDK 6 и JSSE, включенными с использованием поставщика RSA JSSE WLS 12.1.2 (или новее) с JDK 7 ( или более поздней версии) и JSSE включен с помощью поставщика JDK Sun JSSE (по умолчанию) или поставщика RSA JSSE

Если у вас версия ниже 10.3.6, вы можете использовать apache / OHS, который будет действовать как обратный прокси перед всей средой. Обратный прокси-сервер действует как терминатор SSL для клиентских подключений, использующих новейшие сертификаты SSL SHA-2.

Проверьте ссылку ниже

https://technology.amis.nl/2014/12/07/securing-ohs-environments-latest-ssl-tls-protocols-sha-2-certificates/

10.3.3 и более поздние версии поддерживают sha2, предыдущая версия weblogic не поддерживает его. Тем не менее, начиная с версии 10.3.3 и выше, вам необходимо добавить файлы .jar неограниченной мощности для вашей версии Java, чтобы поддерживать ее, и, возможно, включить JSSE SSL для каждого сервера weblogic.