我有一台使用 JRE8、netty 4.1.x 和 netty-tcnative 2.0.36 的服务器。默认情况下SslProvider.OPENSSL已配置。
SslContextBuilder contextBuilder = SslContextBuilder.forServer(keyMngrFactory)
.sslProvider(SslProvider.OPENSSL)
.enableOcsp(true);
服务器配置了 TLS 1.2 和 TLS_ECDHE_RSA* 密码套件。
我需要能够在 SSL 握手期间限制(白名单)用于 ECDHE 临时密钥交换的椭圆曲线(supported_groups 扩展)。但是,使用SslProvider.OPENSSL, server 似乎不尊重系统属性-Djdk.tls.namedGroups。相反,服务器总是使用 P-256 进行临时密钥交换。
如果我切换到SslProvider.JDK,则上述系统属性 ( -Djdk.tls.namedGroups) 将在 ECDHE 临时密钥交换期间反映。但是,我无法将我的生产应用程序切换为使用 JDK 提供程序。
我遇到了https://github.com/netty/netty-tcnative/issues/567 - 基于此,我相信不支持限制 supported_groups 扩展。但不确定是否有任何替代方法。
我的疑问:
- 与 netty-tcnative 一起使用
SslProvider.OPENSSL时,我们可以限制椭圆曲线(支持的组/命名组)用于密钥交换吗? - 如果是,如何配置相同?