Java 應用程式伺服器 AWS OpsWorks 堆疊層 - AWS OpsWorks
停用 Apache 伺服器的 SSLv3

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Java 應用程式伺服器 AWS OpsWorks 堆疊層

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

注意

此 layer 僅適用於 Linux 類型堆疊。

Java 應用程式伺服器層是一個 AWS OpsWorks 堆疊層,可為作為 Java 應用程式伺服器的執行個體提供藍圖。這一層是基於阿帕奇湯姆貓 7.0打開 JDK 7。 AWS OpsWorks 堆疊也會安裝 Java 連接器程式庫,讓 Java 應用程式使用 JDBC DataSource 物件連線至後端資料存放區。

Installation (安裝):Tomcat 安裝在 /usr/share/tomcat7 中。

Add Layer (新增 Layer) 頁面提供下列組態選項:

Java VM 選項

您可以使用此設定來指定自訂 Java VM 選項;沒有預設選項。例如,一組常見選項為 -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC。如果您使用 Java VM 選項,請確定您傳遞了一組有效的選項; AWS OpsWorks 堆疊不會驗證字串。如果您嘗試傳遞無效的選項,則通常無法啟動 Tomcat 伺服器,進而導致設定失敗。如果發生此情況,您可以檢查執行個體的設定 Chef 日誌以了解詳細資訊。如需如何檢視和解釋 Chef 日誌的詳細資訊,請參閱Chef 日誌

自訂安全群組

如果您選擇不自動將內建「 AWS OpsWorks 堆疊」安全性群組與圖層建立關聯,就會顯示此設定。您必須指定要和 layer 關聯的安全群組有哪些。如需詳細資訊,請參閱 建立新的堆疊

Elastic Load Balancer

您可以將 Elastic Load Balancing 負載平衡器附加到層的執行個體。如需詳細資訊,請參閱 Elastic Load Balancing 層

您可以使用自訂 JSON 或自訂屬性檔案,來指定其他組態設定。如需詳細資訊,請參閱 自訂組態

重要

如果您的 Java 應用程式使用 SSL,則建議您盡可能停用 SSLv3 來處理 CVE-2014-3566 中所述的漏洞。如需詳細資訊,請參閱 停用 Apache 伺服器的 SSLv3

主題

停用 Apache 伺服器的 SSLv3

若要停用 SSLv3,您必須修改 Apache 伺服器之 ssl.conf 檔案的 SSLProtocol 設定。為此,您必須覆蓋內置 apache2 食譜ssl.conf.erb模板文件,Java 應用程序服務器層的安裝配方用於創建。ssl.conf詳細資訊取決於您針對 layer 執行個體所指定的作業系統。以下摘要說明 Amazon Linux 和 Ubuntu 系統所需的修改。會自動停用 Red Hat Enterprise Linux (RHEL) 系統的 SSLv3。如需如何覆寫內建範本的詳細資訊,請參閱使用自訂範本

Amazon Linux

這些作業系統的 ssl.conf.erb 檔案位於 apache2 技術指南的 apache2/templates/default/mods 目錄中。以下顯示內建檔案的相關部分。


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv2
</IfModule>

覆寫 ssl.conf.erb 和修改 SSLProtocol 設定,如下所示。


...
#SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# enable only secure protocols: SSLv3 and TLSv1.2, but not SSLv2
SSLProtocol all -SSLv3 -SSLv2
</IfModule>
Ubuntu 14.04 LTS

此作業系統的 ssl.conf.erb 檔案位於 apache2 技術指南的 apache2/templates/ubuntu-14.04/mods 目錄中。以下顯示內建檔案的相關部分。


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all
...

請將此設定變更為下列內容。


...
# The protocols to enable.
# Available values: all, SSLv3, TLSv1.2
# SSL v2 is no longer supported
SSLProtocol all -SSLv3 -SSLv2
...