AWS OpsWorks Stacks-Schicht für Java App Server - AWS OpsWorks
Deaktivieren von SSLv3 für Apache-Server

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS OpsWorks Stacks-Schicht für Java App Server

Wichtig

AWS OpsWorks Stacks akzeptiert keine neuen Kunden mehr. Bestandskunden können die OpsWorks Konsole, die API, die CLI und die CloudFormation Ressourcen bis zum 26. Mai 2024 wie gewohnt nutzen. Zu diesem Zeitpunkt werden sie eingestellt. Um sich auf diesen Übergang vorzubereiten, empfehlen wir Ihnen, Ihre Stacks AWS Systems Manager so bald wie möglich auf umzustellen. Weitere Informationen finden Sie unter AWS OpsWorks Stacks Häufig gestellte Fragen zum Lebensende und Migrieren Sie Ihre AWS OpsWorks Stacks Anwendungen zu AWS Systems Manager Application Manager.

Anmerkung

Diese Ebene steht nur für Linux-basierte Stacks zur Verfügung.

Der Java App Server-Layer ist ein AWS OpsWorks Stacks-Layer, der einen Blueprint für Instanzen bereitstellt, die als Java-Anwendungsserver fungieren. Diese Schicht basiert auf Apache Tomcat 7.0 und Open JDK 7. AWS OpsWorks Stacks installiert auch die Java-Connector-Bibliothek, die es Java-Apps ermöglicht, ein DataSource JDBC-Objekt zu verwenden, um eine Verbindung zu einem Back-End-Datenspeicher herzustellen.

Installation: Tomcat wird installiert in /usr/share/tomcat7.

Auf der Seite Add Layer (Ebene hinzufügen) stehen folgende Konfigurationsoptionen zur Verfügung:

Java-VM-Optionen

Mit dieser Einstellung können Sie die benutzerdefinierten Java-VM-Optionen definieren. Es existieren keine Standard-Optionen. Ein oft verwendeter Optionssatz lautet -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC. Wenn Sie Java VM Options verwenden, stellen Sie sicher, dass Sie einen gültigen Satz von Optionen übergeben. AWS OpsWorks Stacks validiert die Zeichenfolge nicht. Wenn Sie versuchen, eine ungültige Option anzugeben, startet der Tomcat-Server in der Regel nicht, sodass die Einrichtung fehlschlägt. In diesem Fall können Sie dem Chef-Setup-Protokoll der Instance weitere Details entnehmen. Weitere Informationen zur Anzeige und Deutung der Chef-Protokolle finden Sie unter Chef-Protokolle.

Benutzerdefinierte Sicherheitsgruppen

Diese Einstellung wird angezeigt, wenn Sie Ihren Layern nicht automatisch eine integrierte AWS OpsWorks Stacks-Sicherheitsgruppe zuordnen möchten. Sie müssen die mit der Ebene zu verknüpfende Sicherheitsgruppe angeben. Weitere Informationen finden Sie unter Erstellen eines neuen Stacks.

Elastic Load Balancer

Sie können den Instances des Layers einen Elastic Load Balancing Load Balancer zuordnen. Weitere Informationen finden Sie unter Elastic Load Balancing Lastenausgleichsebene.

Mit einem benutzerdefinierten JSON-Objekt oder einer benutzerdefinierten Attributdatei können Sie andere Konfigurationseinstellungen angeben. Weitere Informationen finden Sie unter Benutzerdefinierte Konfiguration.

Wichtig

Wenn Ihre Java-Anwendung SSL verwendet, empfehlen wir, SSLv3 zu deaktivieren, um die in CVE-2014-3566 beschriebenen Schwachstellen zu vermeiden. Weitere Informationen finden Sie unter Deaktivieren von SSLv3 für Apache-Server.

Themen

Deaktivieren von SSLv3 für Apache-Server

Zum Deaktivieren von SSLv3 müssen Sie in der Datei ssl.conf im Apache-Server die Einstellung SSLProtocol ändern. Dazu müssen Sie die ssl.conf.erb Vorlagendatei des integrierten Apache2-Kochbuchs überschreiben, die in den Setup-Rezepten des Java App Server-Layers erstellt wird. ssl.conf Die Details hängen davon ab, welches Betriebssystem Sie für die Ebenen-Instances angeben. Die folgende Übersicht zeigt die erforderlichen Änderungen für Amazon Linux- und Ubuntu-Systeme. SSLv3 wird für Red Hat Enterprise Linux (RHEL)-Systeme automatisch deaktiviert. Weitere Informationen zum Überschreiben einer integrierten Vorlage finden Sie unter Verwenden von benutzerdefinierten Vorlagen.

Amazon Linux

Die Datei ssl.conf.erb für diese Betriebssysteme befindet sich im Verzeichnis apache2 cookbook's apache2/templates/default/mods. Das folgende Beispiel zeigt den relevanten Teil der integrierten Datei.


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

Überschreiben Sie ssl.conf.erb und ändern Sie die SSLProtocol-Einstellung folgendermaßen.


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>
Ubuntu 14.04 LTS

Die Datei ssl.conf.erb für dieses Betriebssystem befindet sich im Verzeichnis apache2 cookbook's apache2/templates/ubuntu-14.04/mods. Das folgende Beispiel zeigt den relevanten Teil der integrierten Datei.


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

Ändern Sie diese Einstellung folgendermaßen.


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...