Actualizaciones de Java Restringir renegociación SSL no segura con servidores de Active Directory

4

Tenemos dos hosts de directorio activo (AD), ead01.domain.com y ead02.domain.com ; también tenemos un dominio de servicio correspondiente, en eadauth.domain.com que redondea los robins entre estos hosts AD (a través de DNS).

Tenemos una aplicación ColdFusion (CF se ejecuta en Java) que se conecta al dominio de servicio a través del puerto seguro 636. Después de actualizar nuestra versión de Java a 1.60_91 desde 1.6.0_81, los protocolos SSL ahora ocasionalmente devuelven este error:

jrpp-83, SEND TLSv1 ALERT:  fatal, description = bad_certificate
jrpp-83, WRITE: TLSv1 Alert, length = 2
jrpp-83, called closeSocket()
jrpp-83, handling exception: javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation

La renegociación insegura se inhabilitó en 1.6.0_85 .

ead01.domain.com tiene un certificado SAN con estas entradas

SubjectAlternativeName [
  DNSName: ead01.domain.com
  DNSName: eadauth.domain.com
]

y ead02.domain.com tiene:

SubjectAlternativeName [
  DNSName: ead02.domain.com
  DNSName: eadauth.domain.com
]

Mis preguntas son: ¿Deberíamos generar y vincular un nuevo certificado con SAN como se indica a continuación en ambos hosts?

SubjectAlternativeName [
  DNSName: ead01.domain.com
  DNSName: ead02.domain.com
  DNSName: eadauth.domain.com
]

¿Hay algún lado negativo en esta configuración? ¿Alguna otra opción que podamos considerar, aparte de desactivar la renegociación insegura?

    
pregunta KM. 05.03.2015 - 21:32
fuente

0 respuestas

Lea otras preguntas en las etiquetas