Entwicklung

Ausgesperrt durch Microsoft Security Updates

Eine Anleitung, wie Sie die Verschlüsselung zwischen HPE ALM Applikationsserver und Client mit der Anpassung der Konfigurationsdatei jetty-ssl.xml wieder herstellen.

Microsoft streicht, durch bereits veröffentlichte (z.B. KB3061518) und geplante Updates, immer mehr alte, anfällige Schlüsselaustauschverfahren für SSL-Verbindungen aus der Liste erlaubter Verfahren. Dies äußert sich z.B. bei HPE ALM Servern dadurch, dass zwischen dem Applikationsserver und dem Client keine Einigung für die verschlüsselte Verbindung erzielt werden kann. Dies gilt, wenn Sie HTTPS direkt über den mitgelieferten Applikationsserver Jetty konfiguriert haben. Besonders aufgefallen ist in diesem Zusammenhang das Update KB3172605 vom Juli 2016 in Verbindung mit dem Internet Expolorer 11.

Für den Nutzer äußert sich der Fehler sehr einfach. Ein Zugriff auf HPE ALM ist schlicht nicht möglich.

Die Anpassung der unterstützen SSL Zertifikate ist mit der Anpassung der Konfigurationsdatei jetty-ssl.xml schnell umgesetzt. Der im nachfolgenden Abschnitt grün markierte Teil muss bearbeitet werden. Je nach eingesetzter HPE ALM Version ist dieser noch nicht, oder nur teilweise vorhanden.

<Call name="addConnector">
  <Arg>
    <New>
       <Arg><Ref id="sslContextFactory" /></Arg>
       <Set name="Port">8443</Set>
       <Set name="maxIdleTime">30000</Set>
       <Set name="Acceptors">2</Set>
       <Set name="AcceptQueueSize">100</Set>
       <Set name="ExcludeCipherSuites">
         <Array type="java.lang.String">
           <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
           <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
           <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
           <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>  
           <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
           <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
           <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
           <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
           <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA256</Item>
           <Item>TLS_DHE_DSS_WITH_AES_256_CBC_SHA256</Item>
           <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</Item>
           <Item>TLS_DHE_DSS_WITH_AES_256_CBC_SHA</Item>
           <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
           <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA256</Item>
           <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
           <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
         <Array>
       </Set>

     </New>
   </Arg>
</Call>

Nach einem Neustart des HPE ALM Servers sollten sich Clients und Server wieder auf ein Verfahren zum Schlüsselaustausch einigen und eine verschlüsselte Verbindung herstellen können. Sollten in Zukunft weitere alte Verfahren von Microsoft deaktiviert werden, können in der jetty-ssl.xml auch weitere Ausnahmen hinzugefügt werden. Die vom Applikationsserver unterstützen Verschlüsselungsverfahren können Sie mit Tools wie sslscan auslesen.

Als Supportkunde der profi.com unterstützen wir Sie gern bei der Umsetzung.

Weiterführende Quellen:

Autor

Christoph Brachmann Senior IT-Consultant
Christoph Brachmann

Dresden