我正在为我的一个项目组装一个XMPP服务器,我有相当严格的加密标准。也就是说,我需要 TLS 协议仅使用 AES-256 密码套件及其等效项。基本上,任何不需要JCE无限策略的东西,我都想排除。是的,我知道这对客户端来说是非常令人望而却步的,因为他们需要能够使用/安装 JCE 策略。我对此没意见,我不允许解决它。
据我了解,开火从基础 JRE 跑掉。我已经找到了如何在 JRE 中安装 JCE 无限策略,以及如何通过 java.security 中的 jdk.tls.disabledAlgorithm 从 Java 环境中删除密码套件。但是,我的测试表明,即使我设置了一个客户端和服务器没有共享的支持套件的环境,并且加密连接设置为"必需",客户端仍然可以连接和通信。我特别试图避免这种行为。
此外,随着 Openfire 4.0 的发布以及直接修改已启用密码套件列表的能力,我注意到 AES-256 密码首先不在受支持的列表中,即使安装了 JCE 无限策略也是如此。这意味着,无论我在 jdk.tls.disabledAlgorithm 中删除不可接受的密码套件还是直接在 Openfire 中删除,无论 JCE 策略如何,Openfire 都不会导入我需要的 AES-256 套件。
有没有办法将密码套件添加到 Openfire 列表中,只要底层 JRE/JCE 支持密码套件?
没
关系。我发现 Openfire 在安装中使用自己的 JRE,而不是程序文件中的通用 JRE。将JCE文件重新复制到新的运行时,它运行良好。