H3C iMC 如何禁用tls1.0、1.1和rsa？

操作步骤

以下步骤以 iMC 部署在 Windows 服务器上为例，Linux 平台路径不同但原理一致。

步骤一：修改 JRE 的 Java 安全策略文件

这是最关键的一步，用于在 Java 层面禁用弱算法。

1. ​​定位 JRE 目录​​：找到 iMC 自带的或正在使用的 JRE 路径。通常位于 iMC\jdk或 iMC\jre下。
2. ​​编辑策略文件​​：用文本编辑器（如 Notepad++）打开 JRE 目录下的文件：jre\lib\security\java.security
3. ​​修改 jdk.tls.disabledAlgorithms参数​​：找到这一行，它的默认值可能已经包含了一些弱算法。我们需要在其后追加要禁用的内容。​​在原有内容末尾添加​​（注意用逗号分隔）：
   TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, RSA keySize < 2048
   ​​修改后的示例​​：
   jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, RSA keySize < 2048
   • TLSv1, TLSv1.1：禁用了 TLS 1.0 和 1.1。
   • RSA keySize < 2048：禁用了密钥长度小于 2048 位的 RSA 密钥交换，这是禁用弱 RSA 的核心设置。
   • 其他参数用于禁用其他已知的弱算法。
4. ​​保存文件​​。

步骤二：修改 Tomcat 配置以启用强协议

现在需要告诉 Tomcat 只使用强协议（TLS 1.2+）。

1. ​​定位 Tomcat 配置目录​​：路径通常为 iMC\server\conf。
2. ​​编辑 server.xml文件​​：备份后使用文本编辑器打开。
3. ​​修改 SSL 连接器（Connector）​​：找到配置 HTTPS 端口的 <Connector>节点，它通常包含 port="8443"、SSLEnabled="true"等属性。​​在该节点中添加或修改以下属性​​：
   sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
   • sslEnabledProtocols="TLSv1.2,TLSv1.3"：明确指定 Tomcat 只启用 TLS 1.2 和 1.3。
   • ciphers="..."：（可选但强烈推荐）指定一组安全的密码套件。这里列举的是一些前向保密（Forward Secrecy）的强密码套件。您可以根据需要调整此列表。
   ​​修改后的 Connector 配置示例​​：
   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/tomcat.keystore" keystorePass="your_password" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" />
4. ​​保存文件​​。

步骤三：重启 iMC 服务

配置修改完成后，必须完全重启 iMC 所有服务才能使更改生效。

1. 以管理员身份运行 iMC\deploy\stopimc.bat（Windows）或 stopimc.sh（Linux）停止所有服务。
2. 等待所有进程完全退出。
3. 运行 iMC\deploy\startimc.bat（Windows）或 startimc.sh（Linux）启动所有服务。

---

验证配置是否生效

配置完成后，必须使用工具验证禁用是否成功。

1. ​​使用 SSL Labs 在线扫描（推荐）​​：
   • 访问 ***.***/ssltest/
   • 输入您的 iMC 服务器地址和 HTTPS 端口（如 your-imc-ip:8443）进行扫描。
   • 在扫描结果中，重点关注：
     • ​​Protocol Support​​：应该只显示 ​​TLS 1.2​​ 和 ​​TLS 1.3​​（如果JRE支持），而不应有 TLS 1.0 或 1.1。
     • ​​Cipher Suites​​：查看使用的密码套件，不应包含使用 RSA 密钥交换的弱密码套件。
2. ​​使用 OpenSSL 命令本地测试​​：在命令行中执行以下命令，尝试用 TLS 1.0 连接，应该会失败。
   openssl s_client -connect your-imc-ip:8443 -tls1
   如果返回 ssl handshake failure之类的错误，则说明 TLS 1.0 已成功禁用。同样可以测试 TLS 1.1 (-tls1_1)。测试 TLS 1.2 (-tls1_2) 应该可以成功握手。
3. ​​使用 Nmap 脚本扫描​​：
   nmap --script ssl-enum-ciphers -p 8443 your-imc-ip
   这个脚本会列出服务器支持的所有协议和密码套件。

---

重要注意事项和故障排除

• ​​兼容性风险​​：禁用 TLS 1.0/1.1 后，使用旧版本操作系统（如 Windows XP/Server 2003）或旧浏览器的客户端将无法访问 iMC Web 界面。请确保您的管理员和用户使用的环境支持 TLS 1.2（如 Windows 10/11, Server 2016+，现代版本的 Chrome/Firefox/Edge）。
• ​​组件兼容性​​：如果 iMC 平台下还部署了其他组件（如 UBA、PLAT等），确保它们也兼容新的 TLS 配置。某些旧版本组件可能需要单独处理。
• ​​密码套件列表​​：上面提供的 ciphers列表是一个安全且通用的示例。如果遇到特定客户端连接问题，可能需要调整密码套件的列表。
• ​​操作前备份​​：再次强调，修改 java.security和 server.xml前务必备份原文件。
• ​​联系支持​​：如果您对操作不确定，或在修改后 iMC 服务无法启动，请优先恢复备份的配置文件，并联系 H3C 技术支持寻求帮助。他们可能提供针对特定 iMC 版本的最佳实践。

通过以上步骤，您就可以系统地增强 H3C iMC 平台的 TLS 安全性。