Java 应用服务器 AWS OpsWorks 堆栈层 - AWS OpsWorks
为 Apache 服务器禁用 SSLv3

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Java 应用服务器 AWS OpsWorks 堆栈层

重要

该 AWS OpsWorks Stacks 服务于 2024 年 5 月 26 日终止,新客户和现有客户均已禁用。我们强烈建议客户尽快将其工作负载迁移到其他解决方案。如果您对迁移有疑问,请通过 re AWS : Post 或通过 Pre mium Su AWS pp ort 与 AWS Support 团队联系。

注意

此层仅适用于基于 Linux 的堆栈。

Java App Server 层是一个 AWS OpsWorks 堆栈层,它为充当 Java 应用程序服务器的实例提供蓝图。该层基于 Apache Tomcat 7.0 和 Ope n JDK 7。 AWS OpsWorks Stacks 还会安装 Java 连接器库,该库允许 Java 应用程序使用 JDBC DataSource 对象连接到后端数据存储。

安装:Tomcat 安装在 /usr/share/tomcat7 中。

Add Layer 页面提供以下配置选项:

Java VM 选项

您可以使用此设置来指定自定义 Java VM 选项;没有默认选项。例如,一组常见的选项是 -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC。如果您使用 Java VM 选项,请确保传递了一组有效的选项; AWS OpsWorks Stacks 不会验证字符串。如果您试图传递无效的选项,Tomcat 服务器通常会无法启动,这会导致设置失败。如果出现这种情况,您可以检查实例的设置 Chef 日志以了解详细信息。有关如何查看和解释 Chef 日志的更多信息,请参阅Chef 日志

自定义安全组

如果您选择不自动将内置 AWS OpsWorks Stacks 安全组与您的图层关联,则会显示此设置。您必须指定要将哪一安全组与层关联起来。有关更多信息,请参阅 创建新堆栈

Elastic Load Balancer

您可以将 Elastic Load Balancing 负载均衡器连接到层的实例。有关更多信息,请参阅 Elastic Load Balancing 层

您可以通过使用自定义 JSON 或自定义属性文件指定其他配置设置。有关更多信息,请参阅 自定义配置

重要

如果您的 Java 应用程序使用的是 SSL,我们建议您禁用 SSLv3 (如果可能的话),以应对 CVE-2014-3566 中介绍的漏洞。有关更多信息,请参阅 为 Apache 服务器禁用 SSLv3

主题

为 Apache 服务器禁用 SSLv3

要禁用 SSLv3,您必须修改 Apache 服务器的 ssl.conf 文件的 SSLProtocol 设置。为此,您必须覆盖内置 apache2 说明书ssl.conf.erb 模板文件,Java App Server 层的 Setup 配方将使用该文件创建 ssl.conf。具体细节取决于您为层的实例指定的操作系统。下面总结了对于 Amazon Linux 和 Ubuntu 系统所需进行的修改。对于 Red Hat Enterprise Linux (RHEL) 系统,将会自动禁用 SSLv3。有关如何覆盖内置模板的更多信息,请参阅使用自定义模板

Amazon Linux

这些操作系统的 ssl.conf.erb 文件位于 apache2 说明书的 apache2/templates/default/mods 目录中。下面显示了内置文件的相关部分。


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

覆盖 ssl.conf.erb 并修改 SSLProtocol 设置,如下所示。


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>
Ubuntu 14.04 LTS

此操作系统的 ssl.conf.erb 文件位于 apache2 说明书的 apache2/templates/ubuntu-14.04/mods 目录中。下面显示了内置文件的相关部分。


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

将此设置更改为以下内容。


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...