Shunze 學園 >資訊設備專區 >Extreme & Enterasys > 《分享》Chrome45無法開啟NetSight 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2323

shunze 離線
《分享》Chrome45無法開啟NetSight引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Chrome在大改版的45版之後,多了很多龜龜毛毛的規定,
連NetSight的JSP web頁面也都因 公開金鑰長度不足,而被Chrome拒絕執行!?
錯誤訊息如下:

伺服器的暫時 Diffie-Hellman 公開金鑰不足
ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY


對於像順子這樣不懂JSP,JAVA,Tomcat的人,有沒有什麼簡單的方法可以處理呢?

順子網路上找到一個方法,透過修改tomcat的 ciphers 參數,啟用ECDHE
提供了Chrome可以接受的安全性等級,讓NetSight可以被Chrome執行。


修改流程如下,
NetSight的 server.xml 位於如下的路徑中,請以編輯工具開啟。
/usr/local/Extreme_Networks/NetSight/jboss/server/default/deploy/jbossweb-tomcat55.sar/server.xml

然後在40幾行的 Connector port="${enterasys.tomcat.https.port}" 區段中,找到 ciphers 參數。

ciphers 參數原本設定如下:
ciphers="${enterasys.tomcat.ciphers}"

將此參數修改為如下:
ciphers="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"

將 server.xml 存檔後,重開機;
您就會發現Chrome己可以開啟NetSight的JSP頁面了∼


參考資料
https://jamfnation.jamfsoftware.com/article.html?id=384



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-09-11, 09:38 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2323

shunze 離線
《分享》另一個解法引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Extreme官方論壇 找到另一個比較正統的解法。

由於server.xml堙Aciphers參數是參照 NSJBoss.properties 中的參數設定,
所以改server.xml還不如改參照的原始檔 NSJBoss.properties 來的正統。
一旦 NSJBoss.properties 改好了,所有參照它的設定也都一併生效,就邏輯上來不僅比較正統,而且也比較有效率!

NSJBoss.properties 設定檔位於如下的路徑中,請以編輯工具開啟。

/usr/local/Extreme_Networks/NetSight/appdata/NSJBoss.properties

找到 enterasys.tomcat.ciphers 參數,將內容由
enterasys.tomcat.ciphers=SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

修改為
enterasys.tomcat.ciphers=SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_DSS_WITH_AES_128_CBC_SHA

上述修改主要就是將Mozilla與Chrome所不支援的 DHE 改為 ECDHECDHE
然後將之前修改的server.xml堛 ciphers 參數還原,
最後再重開機,Mozilla與Chrome就可以瀏覽NetSight的JSP頁面囉∼


另外,NetSight已於6.3.0.162解決此問題了。
若安裝的是6.3.0.162版上以上的NetSight,就不需手動修正此問題了。


參考資料
Can't access Netsight in Firefox 39 due ...fie-Hellman key



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-09-16, 14:14 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR