VMware-Forum

Inoffizielles, unabhängiges deutsches VMware-Forum
https://vmware-forum.de/

5.1: WebClient Firefox + SSL

https://vmware-forum.de/viewtopic.php?f=36&t=31043

Seite 1 von 1

5.1: WebClient Firefox + SSL

Verfasst: 30.07.2015, 16:55
von kroerig
Hallo!

Wenn ich mit FF auf den WebClient zugreifen will, erhalte ich diese Meldung:

Ein Fehler ist während einer Verbindung mit vcenter.firma.intern:9443 aufgetreten. SSL hat einen schwachen kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht "Server-Schlüsselaustausch" empfangen. (Fehlercode: ssl_error_weak_server_ephemeral_dh_key)


Da ich noch eine ältere Version installiert hatte, habe diese eben auf die aktuelle gezogen, aber FF bleibt dabei.

Der IE macht keine Probleme.

Wie bringe ich dem Tomcat (?) hinter dem WebClient bei, bessere Verschlüsselung zu nutzen? Das Zertifikat stammt aus unsere eigenen CA und ist ein SHA265.

Danke & Gruß

Klaus

Verfasst: 31.07.2015, 06:19
von Dayworker
Mit diesem genauen Fehlercode stößt du in der Suchmaschine deines Vertrauens unter anderem auch auf https://forum.eset.com/topic/5348-since-firefox-39-ssl-received-a-weak-ephemeral-diffie-hellman-key-error-code-ssl-error-weak-server-ephemeral-dh-key/.

Verfasst: 31.07.2015, 08:15
von kroerig
Ja, aber ich will nicht dem Firefox wieder die unsicheren Verschlüsselungen beibringen, sondern dem WebClient die sicheren Methoden.

Verfasst: 31.07.2015, 13:36
von irix
Das ist ja auch ein lobenswertes Ziel nur wuerde ich den VMware Support damit konfrontieren.

Gruss
Joerg

Verfasst: 01.08.2015, 14:10
von Dayworker
Wenn man wüßte, wo die fraglichen Ciphers gespeichert sind, könnte man wie im VMTN-Thread cannot access vRO appliance web page with Firefox 39.0 verfahren und die entsprechenden Ciphers mal testweise auskommentieren. Das man dann ggf ein sehr aktuelles und funktionstüchtiges Backup im Fehlerfall hat, setze ich mal voraus...

Verfasst: 02.08.2015, 15:05
von kastlr
Hallo,

ich habe mal auf meiner 5.5 vCSA mit folgendem Befehl nach .xml Files gesucht, die den String "TLS_DHE" enthalten.

Code: Alles auswählen

find / -type f -name '*.xml'|xargs grep "TLS_DHE"

Hier das Ergebnis für vCSA 5.5.

Code: Alles auswählen

/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/work/tmp/console-distro/etc/jetty-ngc-ssl.xml:                            <Item>TLS_DHE_DSS_WITH_AES_256_CBC_SHA</Item>
/usr/lib/vmware-vsphere-client/server/configuration/tomcat-server.xml:               ciphers="SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA"

Eventuell reicht es ja aus, die Einträge aus der tomcat-server.xml zu entfernen, um Firefox milde zu stimmen.

Gruß,
Ralf

Verfasst: 05.08.2015, 09:30
von 2-D
irix hat geschrieben:Das ist ja auch ein lobenswertes Ziel nur wuerde ich den VMware Support damit konfrontieren.

Gruss
Joerg


haben deswegen bei denen auch einige hoch priorisierte SRs auf.
Vielleicht hilft es wenn ihr zusätzliche aufmacht.

Aber zum topic: Man kann die vSphere Komponenten nicht in Gänze zur Nutzung sicherer Protokolle zwingen, erst recht nicht persitent. Das zieht sich im Moment durch die Versionen 5.1, 5.5. und 6.0.

Der Support hat uns hier keine dauerhafte und gangbare Lösung zeigen können.

Verfasst: 07.08.2015, 17:17
von DidiKoko
Diffie-Hellmann Fehlermeldung bei Firefox 39.0... Version

Auf dem Webserver muss die Datei tomcat-server.xml bearbeitet werden.
Im Installationverzeichnis unter Program Files\VMware\Infrastructure\vSphereWebClient\server\config ist diese zu finden.

Dort müssen folgende Einträge entfernt werden:
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Bei uns ausprobiert und getestet. Funktioniert einwandfrei.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/