Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

5.1: WebClient Firefox + SSL

Moderatoren: irix, Dayworker

Antworten
Member
Beiträge: 29
Registriert: 10.01.2011, 09:46

5.1: WebClient Firefox + SSL

Beitragvon kroerig » 30.07.2015, 16:55

Hallo!

Wenn ich mit FF auf den WebClient zugreifen will, erhalte ich diese Meldung:

Ein Fehler ist während einer Verbindung mit vcenter.firma.intern:9443 aufgetreten. SSL hat einen schwachen kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht "Server-Schlüsselaustausch" empfangen. (Fehlercode: ssl_error_weak_server_ephemeral_dh_key)


Da ich noch eine ältere Version installiert hatte, habe diese eben auf die aktuelle gezogen, aber FF bleibt dabei.

Der IE macht keine Probleme.

Wie bringe ich dem Tomcat (?) hinter dem WebClient bei, bessere Verschlüsselung zu nutzen? Das Zertifikat stammt aus unsere eigenen CA und ist ein SHA265.

Danke & Gruß

Klaus
Nach oben
King of the Hill
Beiträge: 13562
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 31.07.2015, 06:19

Mit diesem genauen Fehlercode stößt du in der Suchmaschine deines Vertrauens unter anderem auch auf https://forum.eset.com/topic/5348-since-firefox-39-ssl-received-a-weak-ephemeral-diffie-hellman-key-error-code-ssl-error-weak-server-ephemeral-dh-key/.
Nach oben
Member
Beiträge: 29
Registriert: 10.01.2011, 09:46

Beitragvon kroerig » 31.07.2015, 08:15

Ja, aber ich will nicht dem Firefox wieder die unsicheren Verschlüsselungen beibringen, sondern dem WebClient die sicheren Methoden.
Nach oben
King of the Hill
Beiträge: 12945
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:
Kontaktdaten von irix

Beitragvon irix » 31.07.2015, 13:36

Das ist ja auch ein lobenswertes Ziel nur wuerde ich den VMware Support damit konfrontieren.

Gruss
Joerg
Nach oben
King of the Hill
Beiträge: 13562
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Beitragvon Dayworker » 01.08.2015, 14:10

Wenn man wüßte, wo die fraglichen Ciphers gespeichert sind, könnte man wie im VMTN-Thread cannot access vRO appliance web page with Firefox 39.0 verfahren und die entsprechenden Ciphers mal testweise auskommentieren. Das man dann ggf ein sehr aktuelles und funktionstüchtiges Backup im Fehlerfall hat, setze ich mal voraus...
Nach oben
Profi
Beiträge: 993
Registriert: 31.03.2008, 17:26
Wohnort: Einzugsbereich des FC Schalke 04
Kontaktdaten:
Kontaktdaten von kastlr

Beitragvon kastlr » 02.08.2015, 15:05

Hallo,

ich habe mal auf meiner 5.5 vCSA mit folgendem Befehl nach .xml Files gesucht, die den String "TLS_DHE" enthalten.

Code: Alles auswählen

find / -type f -name '*.xml'|xargs grep "TLS_DHE"

Hier das Ergebnis für vCSA 5.5.

Code: Alles auswählen

/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_DSS_WITH_AES_256_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/configuration/tomcat-server.xml:               ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA"

Eventuell reicht es ja aus, die Einträge aus der tomcat-server.xml zu entfernen, um Firefox milde zu stimmen.

Gruß,
Ralf
Nach oben
Benutzeravatar
Member
Beiträge: 65
Registriert: 03.09.2013, 11:08

Beitragvon 2-D » 05.08.2015, 09:30

irix hat geschrieben:Das ist ja auch ein lobenswertes Ziel nur wuerde ich den VMware Support damit konfrontieren.

Gruss
Joerg


haben deswegen bei denen auch einige hoch priorisierte SRs auf.
Vielleicht hilft es wenn ihr zusätzliche aufmacht.

Aber zum topic: Man kann die vSphere Komponenten nicht in Gänze zur Nutzung sicherer Protokolle zwingen, erst recht nicht persitent. Das zieht sich im Moment durch die Versionen 5.1, 5.5. und 6.0.

Der Support hat uns hier keine dauerhafte und gangbare Lösung zeigen können.
Nach oben
Member
Beiträge: 1
Registriert: 07.08.2015, 08:18

Beitragvon DidiKoko » 07.08.2015, 17:17

Diffie-Hellmann Fehlermeldung bei Firefox 39.0... Version

Auf dem Webserver muss die Datei tomcat-server.xml bearbeitet werden.
Im Installationverzeichnis unter Program Files\VMware\Infrastructure\vSphereWebClient\server\config ist diese zu finden.

Dort müssen folgende Einträge entfernt werden:
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Bei uns ausprobiert und getestet. Funktioniert einwandfrei.
Nach oben
Antworten

Zurück zu „vSphere 5 / ESXi 5 und 5.1“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste