如何在Java LDAP连接上指定SSL / TLS版本?
我正在研究Java LDAP客户端,但我仍然缺少一些有关如何正确执行此操作的信息或知识。
我的代码看起来像这样:
LdapContext ctx = null; Hashtable env = new Hashtable (); try{ env.clear(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, "url"); env.put(Context.SECURITY_PRINCIPAL, "user"); env.put(Context.SECURITY_CREDENTIALS, "password"); env.put(Context.SECURITY_PROTOCOL, "ssl"); env.put("java.naming.security.ssl.ciphers", "SSL_RSA_EXPORT_WITH_RC4_40_MD5"); ctx = new InitialLdapContext(env, null); } catch(NamingException nex) { // error handling } 目前发生以下事情:
- 在调试ssl连接时,我看到在我的LDAP-Server和我的程序之间建立了TLSv1连接。
- 我在ssl握手时看到以下内容和服务器:
*** ClientHello, TLSv1.2和*** ServerHello, TLSv1*** ClientHello, TLSv1.2*** ServerHello, TLSv1
我现在想念的东西:
- 我添加了一个密码,但我没有在客户端的hello消息中提供的受支持密码列表中看到它
- 我没有指定我的客户在他的问候消息中提供TLS1.2,该设置来自哪里?
- 我想能够确定自己是否要使用TLS或SSL以及将使用哪个版本的TLS或SSL,我该如何实现? (所以我可以举例说,只允许TLS 1.1和1.2)
首先扫描您的服务器,然后浪费时间查看可能根本不起作用的内容。 使用: https : //github.com/rbsec/sslscan
您的服务器可能仅支持TLS 1.0。
你使用哪个java版本? 看来ldap服务器不支持TLSv1.2你应该为ldap服务指定专用的ssl套接字工厂。
env.put("java.naming.ldap.factory.socket", CustomTLSSSLSocketFactory.class.getName); CustomTLSSSLSocketFactory extends SSSLSocketFactory { public CustomTLSSSLSocketFactory() { TrustManagerFactory factory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); factory.init((KeyStore) null); TrustManager[] defaultTrustManagers = factory.getTrustManagers(); // create the real socket factory SSLContext sc = SSLContext.getInstance("TLS"); //$NON-NLS-1$ sc.init(null, defaultTrustManagers, null); delegate = sc.getSocketFactory(); } }