Rumah >Java >javaTutorial >Selepas Java8 (291), TLS1.1 dilumpuhkan dan JDBC tidak boleh menyambung ke SqlServer2008 menggunakan SSL.

Selepas Java8 (291), TLS1.1 dilumpuhkan dan JDBC tidak boleh menyambung ke SqlServer2008 menggunakan SSL.

WBOY
WBOYke hadapan
2023-05-16 23:55:052036semak imbas

Selepas Java8-291, TLS1.1 dilumpuhkan, supaya JDBC tidak boleh menyambung ke SqlServer2008 menggunakan SSL Apa yang perlu saya lakukan?

Ubah suai fail java.security

<.>1. Cari fail jre java.security

Jika ia adalah jre, dalam {JAVA_HOME}/jre/lib/security, seperti????

C: Program FilesJavajre1.8.0_301libsecurity

Jika Eclipse green versi mudah alih bebas pemasangan

Cari java.security dalam folder pemasangan, seperti????

xxxpluginsorg.eclipse.justj.openjdk.hotspot. jre.full.win32.x86_64_16.0.1.v20210528-1205jreconfsecurity

Jika ia adalah versi tetingkap Eclipse yang dipasang di bawah dalam c:/folder pengguna/.p2/pool/plugins/&hellip ;, contohnya????


C:Usersadmin.p2poolpluginsorg.eclipse.justj.openjdk.hotspot.jre.full. win32.x86_64_16.0.2.v20210721-1149jreconfsecurity

Jika anda mencari java.security pada pemacu C, anda mungkin menemui lebih daripada dua, dan terdapat juga dalam folder temp

2. Buka java.security dan cari "jdk.tls.disabledAlgorithms="

jdk.tls.disabledAlgorithms=

boleh didapati????
# Example:
#   jdk.tls.disabledAlgorithms=MD5, SSLv3, DSA, RSA keySize < 2048, \
#       rsa_pkcs1_sha1, secp224r1
jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL

3. Padam TLSv1, TLSv1.1,

Padam Selepas jatuh, ia menjadi ????

# Example:
#   jdk.tls.disabledAlgorithms=MD5, SSLv3, DSA, RSA keySize < 2048, \
#       rsa_pkcs1_sha1, secp224r1
jdk.tls.disabledAlgorithms=SSLv3,   RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL

4 >Sampel yang diubah suai boleh disalin terus dalam jre8

Telah diuji dan lulus

#

# Ini ialah "fail sifat keselamatan induk".

#
# Fail sifat java.security alternatif boleh ditentukan

# daripada baris arahan melalui sifat sistem
#
# -Djava.security.properties=258c40d94d8689854ad79c4076dd5f96
#
# Fail sifat ini ditambahkan pada fail sifat keselamatan induk.
# Jika kedua-dua nilai fail sifat menentukan kunci yang sama, nilai
# daripada fail sifat baris perintah dipilih, kerana ia adalah terakhir
# satu dimuatkan.
#
# Juga, jika anda nyatakan
#
# -Djava.security.properties==258c40d94d8689854ad79c4076dd5f96 (2 sama dengan),
#
# maka fail sifat itu sepenuhnya mengatasi keselamatan induk
# fail sifat.
#
# Untuk melumpuhkan keupayaan untuk menentukan fail sifat tambahan daripada
# baris arahan, tetapkan kekunci security.overridePropertiesFile
# kepada false dalam fail sifat keselamatan induk Ia ditetapkan kepada benar
# secara lalai .

# Dalam fail ini, pelbagai sifat keselamatan ditetapkan untuk digunakan oleh
. # java.security classes Di sinilah pengguna boleh mendaftar secara statik
# Pembekal Pakej Kriptografi ("penyedia" singkatannya) . Istilah

# "penyedia" merujuk kepada pakej atau set pakej yang membekalkan# pelaksanaan konkrit subset aspek kriptografi

# Java Security API Pembekal boleh, sebagai contoh, melaksanakan satu atau
# lagi algoritma tandatangan digital atau algoritma ringkasan mesej.
## Setiap pembekal mesti melaksanakan subkelas kelas Penyedia.
# Untuk mendaftarkan pembekal dalam fail sifat keselamatan induk ini ,
# nyatakan pembekal dan keutamaan dalam format
#
# keselamatan. pembekal.751fecf49c9d13ca89ee2cbb9b75d4f6=445af75fe28f29f6ffa98f049fb78368
#
# Ini mengisytiharkan pembekal, dan menentukan keutamaannya
# pesanan n # mencari algoritma yang diminta (apabila tiada pembekal khusus
# diminta berdasarkan 1; 1 adalah yang paling disukai, diikuti
# dengan 2, dan seterusnya.
#
# f6d82d0cd629b837b773f82e9adb9ab3 mesti menyatakan nama Pembekal seperti yang diserahkan kepada pembina java.security.Provider super
# Ini untuk pembekal yang dimuatkan
# melalui mekanisme ServiceLoader.
#
# ba8676586cb33c74c61ba2c0b1d97e34 mesti menentukan subkelas kelas Provider yang
# pembinanya menetapkan nilai pelbagai sifat yang diperlukan
# untuk Java Security API untuk mencari algoritma atau lain-lain
# kemudahan yang dilaksanakan oleh pembekal. Ini adalah untuk pembekal yang dimuatkan
# melalui laluan kelas.
#
# Nota: Penyedia boleh didaftarkan secara dinamik melalui panggilan ke
# sama ada kaedah addProvider atau insertProviderAt dalam Keselamatan
# kelas.

#
# Senarai penyedia dan pesanan keutamaan mereka (lihat di atas):
#
security.provider.1=SUN
security.provider. 2=SunRsaSign
security.provider.3=SunEC

security.provider.4=SunJSSE

security.provider .5=SunJCE
security.provider.6=SunJGSS
security.provider 7=SunSASL
security.provider.8=XMLDSig
security.provider.9=SunPCSC
security.provider .10=JdkLDAP
security.provider.11=JdkSASL
security.provider. 12=SunMSCAPI
security.provider.13=SunPKCS11

#
# Senarai penyedia pilihan untuk algoritma tertentu. Pembekal ini akan
# dicari untuk algoritma padanan sebelum senarai penyedia berdaftar.
# Entri yang mengandungi ralat (penghuraian, dll) akan diabaikan. Gunakan
# -Djava.security.debug=jca untuk menyahpepijat ralat ini.
#
# Harta ini ialah senarai serviceType.algorithm:provider
# yang dipisahkan koma. ServiceType (contoh: "MessageDigest") adalah pilihan, dan jika
# tidak dinyatakan, algoritma digunakan untuk semua jenis perkhidmatan yang menyokongnya.
# Algoritma ialah nama atau transformasi algoritma standard.
# Transformasi boleh dinyatakan dalam nama standard penuhnya
# (cth: AES/CBC/PKCS5Padding), atau sebagai padanan separa (cth: AES, AES/CBC).
# Pembekal ialah nama pembekal. Mana-mana pembekal yang tidak
# turut muncul dalam senarai berdaftar akan diabaikan.
#
# Terdapat jenis perkhidmatan khas untuk harta ini sahaja untuk mengumpulkan set
# algoritma bersama-sama. Jenisnya ialah "Kumpulan" dan diikuti dengan algoritma
# kata kunci. Kumpulan adalah untuk memudahkan dan mengurangkan penyertaan pada harta
# baris. Kumpulan semasa ialah:
#   Kumpulan.SHA2 = SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256
#   Kumpulan.HmacSHA2 = HmacSHA224, HmacSHA256 , HmacSHA384, HmacSHA512
#   Kumpulan.SHA2RSA = SHA224withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA
#   Kumpulan.SHA2DSA = SHA224withDSA, SHA256with4DSA, SHA256with4DSA, SHA256with4DSA .SHA2ECDSA = SHA224withECDSA, SHA256withECDSA, SHA384withECDSA,
#                     SHA512withECDSA
#   Kumpulan.SHA3 = SHA3-224, SHA3-256, SHA3-384, SHA3-512
#   Kumpulan.HmacSHA3 = HmacSHA3-224 HmacSHA3, HmacSHA3-2 3-512
#
# Contoh:
#   jdk.security.provider.preferred=AES/GCM/NoPadding:SunJCE,
#         MessageDigest.SHA-256:SUN, Group.HmacSHA#
#jdk.security.provider.preferred=

#

# Sun Provider SecureRandom sumber benih.
#
# Pilih sumber utama data benih untuk " Pelaksanaan NativePRNG", "SHA1PRNG"
# dan "DRBG" SecureRandom dalam penyedia "Sun".
# (Pelaksanaan SecureRandom lain mungkin juga menggunakan sifat ini.)
#
# Pada seperti Unix sistem (contohnya, Linux/MacOS), pelaksanaan
# "NativePRNG", "SHA1PRNG" dan "DRBG" memperoleh data benih daripada
# fail peranti khas seperti fail:/dev/random.
#
# Pada sistem Windows, menyatakan URL "file:/dev/random" atau
# "file:/dev/urandom" akan mendayakan mekanisme pembenihan Microsoft CryptoAPI
# asli untuk SHA1PRNG dan DRBG.
#
# Secara lalai, percubaan dibuat untuk menggunakan peranti pengumpulan entropi
# yang ditentukan oleh sifat Keselamatan "securerandom.source".  Jika
# pengecualian berlaku semasa mengakses URL yang ditentukan:
#
#     NativePRNG:
#         nilai lalai /dev/random akan digunakan.  Jika tiada
#         tersedia, pelaksanaan akan dilumpuhkan.
#         "fail" ialah satu-satunya jenis protokol yang disokong pada masa ini.
#
#     SHA1PRNG dan DRBG:
#    /    sistem tradisional algoritma aktiviti benang akan digunakan.
#
# Peranti pengumpulan entropi juga boleh ditentukan dengan Sistem
# sifat "java.security.egd". Contohnya:
#
#   % java -Djava.security.egd=file:/dev/random MainClass
#
# Menentukan sifat Sistem ini akan mengatasi
# "securerandom.source " Harta keselamatan.
#
# Selain itu, jika "file:/dev/random" atau "file:/dev/urandom"
# ditentukan, pelaksanaan "NativePRNG" akan lebih diutamakan daripada
# penyedia DRBG dan SHA1PRNG in the Sun.
#
securerandom.source=file:/dev/random

#

# Senarai pelaksanaan SecureRandom kukuh yang diketahui.

#
# Untuk membantu membimbing aplikasi dalam memilih kuat yang sesuai
# pelaksanaan java.security.SecureRandom, pengedaran Java hendaklah
# menunjukkan senarai pelaksanaan kukuh yang diketahui menggunakan harta itu.
#
# Ini ialah senarai algoritma dan/atau algoritma:pembekal yang dipisahkan koma
# entri.
#
securerandom.strongAlgorithms=Windows-PRNG:SunMSCAPI,DRBG:SUN

#
# Konfigurasi DRBG penyedia Sun dan permintaan instantiasi lalai.
#
# NIST SP 800-90Ar1 menyenaraikan beberapa mekanisme DRBG. Setiap satu boleh dikonfigurasikan
# dengan nama algoritma DRBG, dan boleh dijadikan instantiated dengan kekuatan keselamatan,
# sokongan rintangan ramalan, dsb. Sifat ini mentakrifkan konfigurasi
# dan permintaan instantiasi lalai "DRBG " Pelaksanaan SecureRandom
# dalam pembekal SUN. (Pelaksanaan DRBG lain juga boleh menggunakan sifat ini.)
# Aplikasi boleh meminta parameter instantiasi yang berbeza seperti keselamatan
# kekuatan, keupayaan, rentetan pemperibadian menggunakan salah satu daripada
# getInstance(...,SecureRandomParameters,. ..) kaedah dengan
# DrbgParameters.Instantiation argument, tetapi tetapan lain seperti
# mekanisme dan nama algoritma DRBG tidak boleh dikonfigurasikan oleh mana-mana API pada masa ini.
#
# Sila ambil perhatian bahawa Pelaksanaan SUN DRBG sentiasa menyokong pembenihan semula.
#
# Nilai sifat ini ialah senarai dipisahkan koma bagi semua aspek
# yang boleh dikonfigurasikan. Aspek boleh muncul dalam sebarang susunan tetapi aspek yang sama hanya boleh
# muncul paling banyak sekali. Takrif gaya BNFnya ialah:
#
#   Nilai:
#     aspek { "," aspek }
#
#   aspek:
#     mech_name | nama_algoritma | kekuatan | keupayaan | df
#
#   // Mekanisme DRBG untuk digunakan. Lalai "Hash_DRBG"
#   mech_name:
#     "Hash_DRBG" | "HMAC_DRBG" | "CTR_DRBG"
#
#   // Nama algoritma DRBG. Nama "SHA-***" adalah untuk Hash_DRBG dan
#   // HMAC_DRBG, lalai "SHA-256". Nama "AES-***" adalah untuk CTR_DRBG,
#   // lalai "AES-128" apabila menggunakan kriptografi terhad atau "AES-256"
#   // apabila menggunakan tanpa had.
#   nama_algoritma:
#     "SHA-224" | "SHA-512/224" | "SHA-256" |
#     "SHA-512/256" | "SHA-384" | "SHA-512" |
#     "AES-128" | "AES-192" | "AES-256"
#
#   // Kekuatan keselamatan diminta. Lalai "128"
#   kekuatan:
#     "112" | "128" | "192" | "256"
#
#   // Rintangan ramalan dan permintaan pembenihan semula. Lalai "tiada"
#   //  "pr_and_reseed" - Kedua-dua rintangan ramalan dan pembenihan semula
#   //                    sokongan diminta
#   //  "reseed only"  " // bukan permintaan sokongan#   //                    sokongan diminta
#   pr:
#     "pr_and_reseed" | "biji semula_sahaja" | "tiada"
#
#   // Sama ada fungsi terbitan harus digunakan. hanya berkenaan
#   // kepada CTR_DRBG. Lalai "use_df"
#   df:
#     "use_df" | "no_df"
#
# Contoh,
#   securerandom.drbg.config=Hash_DRBG,SHA-224,112,none
#   securerandom.drbg.config=CTR_DRBG,AES-256_and_92,edpr_and_92,edpr_and_92 🎜>#
# Nilai lalai ialah rentetan kosong, yang bersamaan dengan
#   securerandom.drbg.config=Hash_DRBG,SHA-256,128,tiada
#
securerandom.drbg.config=

#

# Kelas untuk dijadikan instantiate sebagai javax.security.auth.login.Configuration

# pembekal.
#
login.configuration.provider=sun.security.provider.ConfigFile

#

# Fail konfigurasi log masuk lalai

#
#login.config.url.1=file:${user.home}/.java.login.config

#

# Kelas untuk dijadikan sebagai Dasar sistem. Ini ialah nama kelas

# yang akan digunakan sebagai objek Dasar. Pemuat kelas sistem digunakan untuk
# mencari kelas ini.
#
policy.provider=sun.security.provider.PolicyFile

# Lalai adalah untuk mempunyai satu sistem seluruh fail dasar,

# dan fail dasar dalam direktori utama pengguna.

#
policy.url.1=file:${java.home}/conf/security/java.policy
dasar .url.2=file:${user.home}/.java.policy

# Mengawal sama ada sifat dikembangkan atau tidak dalam dasar dan log masuk

# fail konfigurasi. Jika ditetapkan kepada palsu, sifat (${...}) tidak akan

# dikembangkan dalam fail konfigurasi dasar dan log masuk. Jika diulas atau
# ditetapkan kepada rentetan kosong, nilai lalai adalah "palsu" untuk fail dasar dan
# "true" untuk fail konfigurasi log masuk.
#
policy.expandProperties=true

# Mengawal sama ada dasar tambahan atau fail konfigurasi log masuk
# dibenarkan untuk dihantar pada baris arahan dengan -Djava.security.policy=somefile
# atau -Djava.security.auth.login .config=somefile. Jika diulas atau ditetapkan kepada
# rentetan kosong, nilai lalainya ialah "palsu".
#
policy.allowSystemProperty=true

# sama ada kita melihat ke dalam IdentityScope atau tidak untuk Identiti dipercayai
# apabila menemui fail JAR yang ditandatangani 1.1. Jika identiti ditemui
# dan dipercayai, kami memberikannya AllPermission. Nota: dasar lalai
# penyedia (sun.security.provider.PolicyFile) tidak menyokong harta ini.
#
policy.ignoreIdentityScope=false

#
# Default keystore taip.
#
keystore.type=pkcs12

#
# Mengawal mod keserasian untuk jenis stor kunci JKS dan PKCS12.
#
# Apabila ditetapkan kepada 'benar', kedua-dua jenis stor kunci JKS dan PKCS12 menyokong pemuatan
# fail stor kunci sama ada dalam format JKS atau PKCS12. Apabila ditetapkan kepada 'palsu'
jenis stor kunci # JKS menyokong hanya memuatkan fail stor kunci JKS dan jenis stor kunci PKCS12
# menyokong hanya memuatkan fail stor kunci PKCS12.
#
keystore.type.compat=true

#
# Senarai pakej dipisahkan koma yang bermula dengan atau sama dengan rentetan ini
# akan menyebabkan pengecualian keselamatan dilemparkan apabila dihantar ke
# SecurityManager::checkPackageAccess kaedah melainkan jika
# RuntimePermission("accessClassInPackage."+pakej) yang sepadan telah diberikan.
#
package.access=sun.misc.,
               sun.reflect.

# 🎜># Senarai pakej dipisahkan koma yang bermula dengan atau sama dengan rentetan ini
# akan menyebabkan pengecualian keselamatan dilemparkan apabila dihantar ke
# SecurityManager::checkPackageDefinition kaedah melainkan yang sepadan
# RuntimePermission( "defineClassInPackage."+package) telah diberikan.
#
# Secara lalai, tiada pemuat kelas dibekalkan dengan panggilan JDK
# checkPackageDefinition.
#
package.definition=sun .misc.,
                   sun.reflect.

#

# Menentukan sama ada fail sifat ini boleh dilampirkan pada
# atau ditindih pada baris arahan melalui -Djava.security.properties
#
security.overridePropertiesFile=true

#

# Menentukan kunci lalai dan algoritma kilang pengurus amanah untuk
# pakej javax.net.ssl.
#
ssl.KeyManagerFactory.algorithm=SunX509
ssl.TrustManagerFactory.algorithm=PKIX

#

# Dasar cache namelookup peringkat Java untuk carian yang berjaya:
# sebarang nilai negatif : caching selama-lamanya
# sebarang nilai positif: bilangan saat untuk cache alamat untuk
# sifar: jangan cache
#
# nilai lalai adalah selama-lamanya (SELAMANYA). Atas sebab keselamatan,
# caching ini dibuat selama-lamanya apabila pengurus keselamatan ditetapkan. Apabila keselamatan
# pengurus tidak ditetapkan, gelagat lalai dalam pelaksanaan ini
# adalah untuk cache selama 30 saat.
#
# NOTA: menetapkan ini kepada apa-apa selain nilai lalai boleh ada
#       implikasi keselamatan yang serius. Jangan tetapkannya melainkan
#       anda pasti anda tidak terdedah kepada serangan spoofing DNS.
#
#networkaddress.cache.ttl=-1

# Cache namelookup peringkat Java dasar untuk carian yang gagal:

#

# sebarang nilai negatif: cache selama-lamanya
# sebarang nilai positif: bilangan saat untuk cache hasil carian negatif
# sifar: jangan cache
#
# Dalam sesetengah persekitaran rangkaian Microsoft Windows yang menggunakan
# perkhidmatan nama WINS sebagai tambahan kepada DNS, carian perkhidmatan nama
# yang gagal mungkin mengambil masa yang agak lama untuk dikembalikan (lebih kurang 5 saat).
# Atas sebab ini dasar caching lalai adalah untuk mengekalkan
# hasil ini selama 10 saat.
#
networkaddress.cache.negative.ttl=10

#

# Properties untuk mengkonfigurasi OCSP untuk semakan pembatalan sijil

#

# Dayakan OCSP

#

# Secara lalai, OCSP tidak digunakan untuk semakan pembatalan sijil.
# Sifat ini membolehkan penggunaan OCSP apabila ditetapkan kepada nilai "true".
#
# NOTA: SocketPermission diperlukan untuk menyambung kepada responder OCSP.
#
# Contoh,
#   ocsp.enable=true

#

# Lokasi responder OCSP

#
# Secara lalai, lokasi responder OCSP ditentukan secara tersirat
# daripada sijil yang sedang disahkan. Sifat ini secara eksplisit menyatakan
# lokasi responden OCSP. Harta ini digunakan apabila
# sambungan Akses Maklumat Pihak Berkuasa (ditakrifkan dalam RFC 5280) tiada
# daripada sijil atau apabila ia memerlukan penggantian.
#
# Contoh,
#   ocsp .responderURL=http://ocsp.example.net:80

#
# Nama subjek sijil responden OCSP
#
# Secara lalai, sijil responden OCSP ialah sijil pengeluar
# sijil yang sedang disahkan. Sifat ini mengenal pasti sijil
# daripada responden OCSP apabila lalai tidak digunakan. Nilainya ialah rentetan
# nama ternama (ditakrifkan dalam RFC 2253) yang mengenal pasti sijil dalam
# set sijil yang dibekalkan semasa pengesahan laluan sijil. Dalam kes di mana
# nama subjek sahaja tidak mencukupi untuk mengenal pasti sijil secara unik
# maka kedua-dua sifat "ocsp.responderCertIssuerName" dan
# "ocsp.responderCertSerialNumber" mesti digunakan sebaliknya. Apabila
# sifat ini ditetapkan maka kedua-dua sifat tersebut diabaikan.
#
# Contoh,
#   ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp

#
# Nama pengeluar sijil responden OCSP
#
# Secara lalai, sijil responden OCSP ialah sijil pengeluar
# sijil yang sedang disahkan. Sifat ini mengenal pasti sijil
# daripada responden OCSP apabila lalai tidak digunakan. Nilainya ialah rentetan
# nama ternama (ditakrifkan dalam RFC 2253) yang mengenal pasti sijil dalam
# set sijil yang dibekalkan semasa pengesahan laluan sijil. Apabila
# sifat ini ditetapkan maka sifat "ocsp.responderCertSerialNumber" juga mesti
# ditetapkan. Apabila sifat "ocsp.responderCertSubjectName" ditetapkan maka
# sifat ini diabaikan.
#
# Contoh,
#   ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp

#
# Nombor siri sijil responden OCSP
#
# Secara lalai, sijil responden OCSP ialah sijil pengeluar
# sijil yang sedang disahkan. Sifat ini mengenal pasti sijil
# daripada responden OCSP apabila lalai tidak digunakan. Nilainya ialah rentetan
# digit heksadesimal (pemisah bertindih atau ruang mungkin ada) yang
# mengenal pasti sijil dalam set sijil yang dibekalkan semasa laluan sijil
# pengesahan. Apabila sifat ini ditetapkan maka sifat "ocsp.responderCertIssuerName"
# juga mesti ditetapkan. Apabila sifat "ocsp.responderCertSubjectName"
# ditetapkan maka sifat ini diabaikan.
#
# Contoh,
#   ocsp.responderCertSerialNumber=2A:FF:00

#
# Dasar untuk carian KDC Kerberos yang gagal:
#
# Apabila KDC tidak tersedia (ralat rangkaian, kegagalan perkhidmatan, dll), ia
# dimasukkan ke dalam senarai hitam dan kurang kerap diakses untuk masa hadapan permintaan. Nilai
# (tidak peka huruf besar-kecil) untuk dasar ini boleh menjadi:
#
# tryLast
#    KDC dalam senarai hitam sentiasa dicuba selepas yang tiada dalam senarai.
#
# tryLess[:max_retries,timeout]
#    KDC dalam senarai hitam masih dicuba mengikut susunannya dalam konfigurasi,
#    tetapi dengan max_retries dan nilai tamat masa yang lebih kecil. max_retries dan tamat masa
#    adalah parameter berangka pilihan (lalai 1 dan 5000, yang bermaksud sekali
#    dan 5 saat). Sila ambil perhatian bahawa jika mana-mana nilai yang ditakrifkan di sini adalah
#    lebih daripada yang ditakrifkan dalam krb5.conf, ia akan diabaikan.
#
# Apabila KDC dikesan sebagai tersedia, ia akan dialih keluar daripada senarai hitam.
# Senarai hitam ditetapkan semula apabila krb5.conf dimuat semula. Anda boleh menambah
# refreshKrb5Config=true pada fail konfigurasi JAAS supaya krb5.conf
# dimuat semula setiap kali pengesahan JAAS cuba.
#
# Contoh,
#   krb5.kdc .bad.policy = tryLast
#   krb5.kdc.bad.policy = tryLess:2,2000
#
krb5.kdc.bad.policy = tryLast

#
# Rujukan merentas alam Kerberos (RFC 6806)
#
# Pelanggan Kerberos OpenJDK menyokong rujukan merentas alam seperti yang ditakrifkan dalam
# RFC 6806. Ini membolehkan anda menyediakan persekitaran yang lebih dinamik di mana pelanggan
# lakukan tidak perlu mengetahui terlebih dahulu cara untuk mencapai alam pengetua sasaran
# (sama ada pengguna atau perkhidmatan).
#
# Apabila pelanggan mengeluarkan permintaan AS atau TGS, "mengkanonikalkan" pilihan
# ditetapkan untuk mengumumkan sokongan ciri ini. Pelayan KDC boleh memenuhi
# permintaan atau balasan yang merujuk klien kepada yang lain. Jika dirujuk,
# pelanggan akan mengeluarkan permintaan baharu dan kitaran berulang.
#
# Selain rujukan, pilihan "mengkanonikalkan" membolehkan pelayan KDC
# menukar nama pelanggan sebagai tindak balas kepada permintaan AS. Atas sebab keselamatan,
# RFC 6806 (bahagian 11) Skim FAST dikuatkuasakan.
#
# Lumpuhkan rujukan merentas alam Kerberos. Nilai mungkin ditimpa dengan
# sifat Sistem (-Dsun.security.krb5.disableReferrals).
sun.security.krb5.disableReferrals=false

# Bilangan maksimum rujukan AS atau TGS untuk mengelakkan gelung tak terhingga. Nilai boleh
# ditimpa dengan sifat Sistem (-Dsun.security.krb5.maxReferrals).
sun.security.krb5.maxReferrals=5

#
# Sifat ini mengandungi senarai Lengkung Dinamakan EC yang dilumpuhkan yang boleh disertakan
# dalam jdk.[tls|certpath|jar].sifat Algoritma yang dilumpuhkan.  Untuk memasukkan
# senarai ini dalam mana-mana sifat Algoritma disabled, tambahkan nama sifat sebagai
# entri.
#jdk.disabled.namedCurves=

#
# Sekatan algoritma untuk pemprosesan laluan pensijilan (CertPath)
#
# Dalam sesetengah persekitaran, algoritma atau panjang kunci tertentu mungkin tidak diingini
# untuk pembinaan laluan pensijilan dan pengesahan.  Sebagai contoh, "MD2" ialah
# secara amnya tidak lagi dianggap sebagai algoritma cincang selamat.  Bahagian ini
# menerangkan mekanisme untuk melumpuhkan algoritma berdasarkan nama algoritma
# dan/atau panjang kunci.  Ini termasuk algoritma yang digunakan dalam sijil, serta
# sebagai maklumat pembatalan seperti CRL dan Respons OCSP yang ditandatangani.
# Sintaks rentetan algoritma yang dilumpuhkan diterangkan seperti berikut:
#   DisabledAlgorithm:
# " DisabledAlgorithm { , DisabledAlgorithm } "
#
#   DisabledAlgorithm:
#       AlgorithmName [Constraint] { '&' Constraint } | IncludeProperty
#
#   AlgorithmName:
#       (lihat di bawah)
#
#   Kekangan:
#       KeySizeConstraint | CAConstraint | DenyAfterConstraint |
#       UsageConstraint
#
#   KeySizeConstraint:
#       KeySize Operator KeyLength
#
#   Operator:
  lt 0c38a056ea36bd74d2c2628fd23a00da= | >
#
#   Panjang Kunci:
#       Nilai integer bagi panjang kunci algoritma dalam bit
#
#   CAConstraint:
#       jdkCA
#Constraint:
#       jdkCA
#
#       denyAfter YYYY-MM-DD
#
#   UsageConstraint:
#       penggunaan [TLSServer] [TLSClient] [SignedJAR]
#
🎜>#
🎜  Properti: Inc. ;security property>
#
# "AlgorithmName" ialah nama algoritma standard bagi algoritma
#. Lihat Spesifikasi Nama Algoritma Standard Keselamatan Java
# untuk mendapatkan maklumat tentang Nama Algoritma Standard.  Pemadanan
# dilakukan menggunakan peraturan pemadanan sub-elemen yang tidak peka huruf besar-besaran.  (Untuk
# contoh, dalam "SHA1withECDSA" sub-elemen ialah "SHA1" untuk pencincangan dan
# "ECDSA" untuk tandatangan.)  Jika penegasan "AlgorithmName" ialah
# sub-elemen bagi nama algoritma sijil, algoritma akan
# ditolak semasa pembinaan dan pengesahan laluan pensijilan.  Contohnya,
# nama algoritma penegasan "DSA" akan melumpuhkan semua algoritma sijil
# yang bergantung pada DSA, seperti NONEwithDSA, SHA1withDSA.  Walau bagaimanapun, penegasan
# tidak akan melumpuhkan algoritma yang berkaitan dengan "ECDSA".
#
# "IncludeProperty" membenarkan sifat keselamatan yang ditentukan pelaksanaan yang
# boleh disertakan dalam sifat Algoritma yang dilumpuhkan.  Sifat ini
# untuk membantu mengurus tindakan biasa dengan lebih mudah merentas berbilang Algoritma disabled
# sifat.
# Terdapat satu sifat keselamatan yang ditentukan:  jdk.disabled.NamedCurves
# Lihat sifat untuk butiran yang lebih khusus.
#
#
# "Kekangan" mentakrifkan sekatan ke atas kunci dan/atau sijil untuk
# Nama Algoritma yang ditentukan:
#
#   KeySizeConstraint:
#     keySize Operator Panjang Kunci
#       Kekangan memerlukan kunci julat saiz yang sah jika
#       "Nama Algoritma" adalah daripada algoritma kunci.  "KeyLength" menunjukkan
#       saiz kunci yang dinyatakan dalam bilangan bit.  Contohnya,
#       "RSA keySize e50d5d214621eceb7e6a54b329bcfd5d 2048" menunjukkan bahawa mana-mana kunci RSA
#       dengan saiz kunci kurang daripada 1024 atau lebih besar daripada 2048 harus dilumpuhkan.
#       Kekangan ini hanya digunakan pada algoritma yang mempunyai saiz kunci.
#
#   CAConstraint:
#     jdkCA
#       Kekangan ini melarang algoritma yang ditentukan hanya jika algoritma
#       digunakan dalam rantaian sijil yang tamat pada tanda
#   dalam amanah    stor kunci keselamatan/cacerts.  Jika kekangan jdkCA
#       tidak ditetapkan, maka semua rantai yang menggunakan algoritma yang ditentukan
#       adalah terhad.  jdkCA hanya boleh digunakan sekali dalam ungkapan DisabledAlgorithm
#      .
#       Contoh:  Untuk menggunakan kekangan ini pada sijil SHA-1, sertakan
#       yang berikut:  "SHA1 jdkCA"
# #   DenyAfterConstraint:
#     denyAfter YYYY-MM-DD
#       Kekangan ini melarang sijil dengan algoritma yang ditentukan
#       daripada digunakan selepas tarikh tanpa mengira kesahihan
#       sijil.  Fail JAR yang ditandatangani dan dicap masa sebelum
#       tarikh kekangan dengan sijil yang mengandungi algoritma yang dilumpuhkan
#       tidak akan dihadkan.  Tarikh diproses dalam zon waktu UTC.
#       Kekangan ini hanya boleh digunakan sekali dalam ungkapan DisabledAlgorithm
#      .
#       Contoh:  Untuk menafikan penggunaan sijil RSA 2048 bit selepas 3 Feb 2020,
#       gunakan yang berikut:  "RSA keySize == 2048 & denyAfter 2020-02-03"
#
#   UsageConstraint:
#     penggunaan [TLSServer] . melarang algoritma yang ditentukan untuk
#       penggunaan tertentu.  Ini harus digunakan apabila melumpuhkan algoritma
#       untuk semua penggunaan adalah tidak praktikal. 'TLSServer' mengehadkan algoritma
#       dalam rantaian sijil pelayan TLS apabila pengesahan pelayan
#       dilakukan. 'TLSClient' mengehadkan algoritma dalam klien TLS
#       rantaian sijil apabila pengesahan pelanggan dilakukan.
#       'SignedJAR' mengekang penggunaan sijil dalam fail balang yang ditandatangani.
#       Jenis penggunaan mengikut kata kunci dan lebih daripada kata kunci satu jenis penggunaan boleh
#       ditentukan dengan pembatas ruang putih.
#       Contoh:  "SHA1 penggunaan TLServer TLSClient"
#
# Apabila algoritma mesti memenuhi lebih daripada satu kekangan, ia mestilah
# dibatasi oleh ampersand '&'.  Contohnya, untuk menyekat sijil dalam
# rantaian yang ditamatkan pada pengagihan yang disediakan sauh amanah dan mengandungi
# kunci RSA yang kurang daripada atau sama dengan 1024 bit, tambahkan yang berikut
# kekangan:  "RSA keySize <= 1024 & jdkCA".
#
# Semua ungkapan Algoritma Disabled diproses dalam susunan yang ditakrifkan dalam
# harta.  Ini memerlukan kekangan saiz kekunci yang lebih rendah untuk ditentukan
# sebelum kekangan saiz kekunci yang lebih besar daripada algoritma yang sama.  Contohnya:
# "RSA keySize < 1024 & jdkCA, RSA keySize < 2048".
#
# Nota: Sekatan algoritma tidak terpakai untuk sauh kepercayaan atau
# ditandatangani sendiri sijil.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan PKIX Oracle. Ia
# tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
# Contoh:
#   jdk.certpath.disabledAlgorithms=MD2, DSA, RSA keySize < 2048
#
#
jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & penggunaan TLSServer,
    RSA keySize < 1024, Saiz kunci DSA < 1024, Saiz kunci EC < 224

#

# Algoritma warisan untuk pemprosesan laluan pensijilan (CertPath) dan
# fail JAR yang ditandatangani.
#
# Dalam sesetengah persekitaran, algoritma atau panjang kunci tertentu mungkin tidak diingini
# tetapi belum lagi dilumpuhkan.
#
# Alat seperti keytool dan jarsigner mungkin mengeluarkan amaran apabila legasi ini
# algoritma digunakan. Lihat halaman manual untuk alatan tersebut untuk mendapatkan maklumat lanjut.
#
# Sintaks adalah sama dengan sifat keselamatan "jdk.certpath.disabledAlgorithms" dan
# "jdk.jar.disabledAlgorithms".
#
# Nota: Sifat ini sedang digunakan oleh Rujukan JDK
# pelaksanaan. Ia tidak dijamin untuk diperiksa dan digunakan oleh
# pelaksanaan lain.

jdk.security.legacyAlgorithms=SHA1,

    RSA keySize < 2048, Saiz kunci DSA < 2048

#
# Sekatan algoritma untuk fail JAR yang ditandatangani
#
# Dalam sesetengah persekitaran, algoritma atau panjang kunci tertentu mungkin tidak diingini
# untuk pengesahan JAR yang ditandatangani.  Sebagai contoh, "MD2" biasanya tidak lagi
# dianggap sebagai algoritma cincang selamat.  Bahagian ini menerangkan
# mekanisme untuk melumpuhkan algoritma berdasarkan nama algoritma dan/atau panjang kunci.
# JAR yang ditandatangani dengan mana-mana algoritma yang dilumpuhkan atau saiz kunci akan dianggap
# sebagai tidak ditandatangani.
#
# Sintaks rentetan algoritma yang dilumpuhkan diterangkan seperti berikut:
#   DisabledAlgorithm:
#       " DisabledAlgorithm { , DisabledAlgorithm } "
#
#   Algoritma Disabled:
#       " DisabledAlgorithm { , DisabledAlgorithm } "
#
#   Algorithm disabled :#gorithm Kekangan] { '&' Kekangan }
#
#   AlgoritmaNama:
#       (lihat di bawah)
#
#   Kekangan:
#       KeySizeConstraint | DenyAfterConstraint
#
#   KeySizeConstraint:
#       keySize Operator KeyLength
#
#   DenyAfterConstraint:
#      DD: 🎜 >#       <= | 0c38a056ea36bd74d2c2628fd23a00da= | >
#
#   Panjang Kunci:
#       Nilai integer panjang kunci algoritma dalam bit
#
# Nota: Sifat ini sedang digunakan oleh Rujukan JDK
# pelaksanaan. Ia tidak dijamin untuk diperiksa dan digunakan oleh
# pelaksanaan lain.
#
# Lihat "jdk.certpath.disabledAlgorithms" untuk penerangan sintaks.
#
jdk.jar.disabledAlgorithms= MD2, MD5, RSA keySize 087b7319fb892490006df7d309203c78 /conf/security/policy/ yang boleh disesuaikan.
# Sila lihat fail 63b3ee7e72479f6360d4c7e4b3af780a/conf/security/policy/README.txt atau rujuk
# dokumentasi Java Security Guide/JCA untuk maklumat lanjut.
#
# ANDA DINASIHATKAN UNTUK BERUnding dengan PEGUAM KAWALAN EKSPORT/IMPORT ANDA ATAU PEGUAM
# UNTUK MENENTUKAN KEPERLUAN YANG TEPAT.
#
# [1] Sila ambil perhatian bahawa JCE untuk Java SE, termasuk rangka kerja JCE,
# fail dasar kriptografi dan penyedia JCE standard yang disediakan dengan
# Java SE, telah disemak dan diluluskan untuk eksport sebagai pasaran massa
# item penyulitan oleh AS Biro Industri dan Keselamatan.
#
# Nota: Hartanah ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
crypto.policy=unlimited

#

# Dasar untuk mod pengesahan selamat Tandatangan XML. Mod ini
# didayakan dengan menetapkan sifat "org.jcp.xml.dsig.secureValidation" kepada
# benar dengan kaedah javax.xml.crypto.XMLCryptoContext.setProperty(),
# atau dengan menjalankan kod dengan SecurityManager.
#
#   Dasar:
#       Kekangan {"," Kekangan }
#   Kekangan:
#       AlgConstraint | MaxTransformsConstraint | MaxReferencesConstraint |
#       ReferenceUriSchemeConstraint | Kekangan Saiz Utama | OtherConstraint
#   AlgConstraint
#       "disallowAlg" Uri
#   MaxTransformsConstraint:
#       "maxTransforms" Integer
#   MaxReferences  Constraint: "MaxReferencesConstraint"
#   RujukanUriSchemeConstraint:
#       Rentetan "disallowReferenceUriSchemes" { String }
#   KeySizeConstraint:
#       "minKeySize" KeyAlg Integer
#   OtherConstraint:
#            "noRetrievalMethodLoops"
#
# Untuk AlgConstraint, Uri ialah String URI algoritma yang tidak dibenarkan.
# Lihat Syor Tandatangan XML untuk mendapatkan maklumat lanjut tentang algoritma
# Pengecam URI. Untuk KeySizeConstraint, KeyAlg ialah algoritma standard
# nama jenis kunci (cth: "RSA"). Jika MaxTransformsConstraint,
# MaxReferencesConstraint atau KeySizeConstraint (untuk jenis kunci yang sama)
# dinyatakan lebih daripada sekali, hanya entri terakhir dikuatkuasakan.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK. Ia
# tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
jdk.xml.dsig.secureValidationPolicy=
    disallowAlg http://www.w3.org/TR/1999/ REC-xslt-19991116,
    disallowAlg http://www.w3.org/2001/04/xmldsig-more#rsa-md5,
    disallowAlg http://www.w3.org/2001/04/ xmldsig-more#hmac-md5,
    disallowAlg http://www.w3.org/2001/04/xmldsig-more#md5,
    maxTransforms 5,
    maxReferences 30,
 fail rujukan https,
    minKeySize RSA 1024,
    minKeySize DSA 1024,
     minKeySize EC 224,
    noDuplicateIds,
#
# Penapis seluruh sistem siri
#
# Penapis, jika dikonfigurasikan, digunakan oleh java.io.ObjectInputStream semasa
# penyahserikatan untuk menyemak kandungan strim.
# Penapis dikonfigurasikan sebagai jujukan corak, setiap corak sama ada
# dipadankan dengan nama kelas dalam strim atau mentakrifkan had.
# Corak dipisahkan dengan ";" (titik koma).
# Ruang kosong adalah penting dan dianggap sebahagian daripada corak.
#
# Jika sifat sistem jdk.serialFilter juga ditentukan, ia menggantikan
# nilai sifat keselamatan yang ditakrifkan di sini .
#
# Jika corak termasuk "=", ia menetapkan had.
# Jika had muncul lebih daripada sekali nilai terakhir digunakan.
# Had disemak sebelum kelas tanpa mengira daripada susunan dalam
# turutan corak.
# Jika mana-mana had melebihi, status penapis DITOLAK.
#
#   maxdepth=value - kedalaman maksimum graf
#   maxrefs=value  - bilangan maksimum rujukan dalaman
#   maxbytes=value - bilangan maksimum bait dalam aliran input
#   maxarray=value - panjang tatasusunan maksimum yang dibenarkan
#
# Corak lain, dari kiri ke kanan, padankan kelas atau nama pakej sebagai
# dikembalikan daripada Class.getName.
# Jika kelas ialah jenis tatasusunan, kelas atau pakej yang akan dipadankan ialah
# jenis elemen.
# Tatasusunan daripada sebarang bilangan dimensi dianggap sama seperti jenis elemen.
# Contohnya, corak "!example.Foo", menolak penciptaan sebarang tika atau
# tatasusunan contoh.Foo.
#
# Jika corak bermula dengan "!", status DITOLAK jika baki
# corak dipadankan; sebaliknya status adalah DIBENARKAN jika corak sepadan.
# Jika corak mengandungi "/", awalan tidak kosong sehingga "/" ialah
# nama modul;
#   jika nama modul sepadan dengan nama modul kelas maka
#   corak yang tinggal dipadankan dengan nama kelas.
#   Jika tiada "/", nama modul tidak dibandingkan.
# Jika corak berakhir dengan ".**" ia sepadan dengan mana-mana kelas dalam pakej dan semua
# subpakej.
# Jika corak berakhir dengan ".*" ia sepadan dengan mana-mana kelas dalam pakej.
# Jika corak berakhir dengan "*", ia sepadan dengan mana-mana kelas dengan corak sebagai
# awalan.
# Jika corak itu sama dengan nama kelas, ia sepadan.
# Jika tidak, statusnya TIDAK DIPUTUSKAN.
#
#jdk.serialFilter=pattern;pattern

#
# Penapis Bersiri Pendaftaran RMI
#
# Corak penapis menggunakan format yang sama seperti jdk.serialFilter.
# Penapis ini boleh mengatasi penapis terbina jika jenis tambahan perlu
# dibenarkan atau ditolak daripada Pendaftaran RMI atau untuk mengurangkan had tetapi tidak
# untuk meningkatkan had.
# Jika had (kedalaman maksimum, maxrefs atau maxbait) melebihi, objek ditolak.
#
# Setiap jenis bukan tatasusunan dibenarkan atau ditolak jika ia sepadan dengan salah satu corak,
# dinilai dari kiri ke kanan, dan sebaliknya dibenarkan. Tatasusunan mana-mana
# jenis komponen, termasuk subarray dan tatasusunan primitif, dibenarkan.
#
# Pembinaan tatasusunan sebarang jenis komponen, termasuk subarray dan tatasusunan
# primitif, dibenarkan melainkan jika panjang lebih besar daripada had maxarray.
# Penapis digunakan pada setiap elemen tatasusunan.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
# Penapis terbina dalam membenarkan subkelas kelas yang dibenarkan dan
# boleh diwakili lebih kurang sebagai corak:
#
#sun. rmi.registry.registryFilter=
#    maxarray=1000000;
#    maxdepth=20;
#    java.lang.String;
#    java.lang.Number;
# . reflect.Proxy;
#    java.rmi.Remote;
#    sun.rmi.server.UnicastRef;
#    sun.rmi.server.RMIClientSocketFactory;
#    sun.rmi.server.RMIS;verSocket.RMIS
#    java.rmi.activation.ID Pengaktifan;
#    java.rmi.server.UID
#
# Penapis Bersiri Pemungut Sampah Teragih (DGC) RMI
#
# Penapis corak menggunakan format yang sama seperti jdk.serialFilter.
# Penapis ini boleh mengatasi penapis terbina jika jenis tambahan perlu
# dibenarkan atau ditolak daripada RMI DGC.
#
# Nota: Ini hartanah sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
# Penapis DGC terbina dalam anggaran boleh diwakili sebagai corak penapis:
#
#sun.rmi.transport.dgcFilter=
#    java.rmi.server.ObjID;
#    java.rmi.server.UID;
#    java.rmi.dgc.VMID;
#    java.rmi.dgc.Lease;
#    maxdepth=5;maxarray=10000

#
# Penapis Bersiri Kunci Disulitkan JCEKS
#
# Penapis ini, jika dikonfigurasikan, digunakan oleh JCEKS KeyStore semasa
# penyahserialisasian objek Kunci yang disulitkan yang disimpan di dalam entri kunci.
# Jika tidak dikonfigurasikan atau keputusan penapis TIDAK DIPUTUSKAN (iaitu. tiada satu pun daripada corak
# sepadan), penapis yang dikonfigurasikan oleh jdk.serialFilter akan dirujuk.
#
# Jika sifat sistem jceks.key.serialFilter juga ditentukan, ia menggantikan
# nilai harta keselamatan ditakrifkan di sini.
#
# Corak penapis menggunakan format yang sama seperti jdk.serialFilter. Corak lalai
# membenarkan java.lang.Enum, java.security.KeyRep, java.security.KeyRep$Type,
# dan javax.crypto.spec.SecretKeySpec dan menolak semua yang lain.
jceks .key.serialFilter = java.base/java.lang.Enum;java.base/java.security.KeyRep;
  java.base/java.security.KeyRep$Type;java.base/javax.crypto.spec. SecretKeySpec;!*

# Kiraan lelaran yang digunakan untuk penyulitan berasaskan kata laluan (PBE) dalam JCEKS
# kedai kunci. Nilai dalam julat 10000 hingga 5000000 dianggap sah.
# Jika nilai di luar julat ini, atau bukan nombor, atau tidak ditentukan;
# lalai 200000 digunakan.
#
# Jika sifat sistem jdk.jceks.iterationCount juga ditentukan, ia
# menggantikan nilai sifat keselamatan yang ditakrifkan di sini.
#
#jdk.jceks.iterationCount = 200000

#
# sifat PKCS12 KeyStore
#
# Sifat berikut, jika dikonfigurasikan, digunakan oleh PKCS12 KeyStore
# pelaksanaan semasa penciptaan stor kunci baharu. Beberapa daripada
# sifat juga boleh digunakan apabila mengubah suai stor kunci sedia ada.
# sifat boleh ditindih oleh KeyStore API yang menentukan
# algoritma dan parameternya sendiri.
#
# Jika stor kunci PKCS12 sedia ada dimuatkan dan kemudian disimpan, algoritma dan
# parameter yang digunakan untuk menjana Mac sedia ada akan digunakan semula. Jika
# keystore yang sedia ada tidak mempunyai Mac, tiada Mac akan dibuat semasa menyimpan. Jika terdapat
# sekurang-kurangnya satu sijil dalam stor kunci sedia ada, algoritma dan
# parameter yang digunakan untuk menyulitkan sijil terakhir dalam stor kunci sedia ada akan
# digunakan semula untuk menyulitkan semua sijil semasa menyimpan. Jika sijil terakhir
# dalam stor kunci sedia ada tidak disulitkan, semua sijil akan disimpan
# tidak disulitkan. Jika tiada sijil dalam stor kunci sedia ada, mana-mana
# sijil yang baru ditambah akan disulitkan (atau disimpan tidak disulitkan jika nilai algoritma
# ialah "TIADA") menggunakan "keystore.pkcs12.certProtectionAlgorithm" dan
# nilai "keystore.pkcs12.certPbeIterationCount" ditakrifkan di sini. Kunci peribadi
# dan rahsia sedia ada tidak ditukar. Kunci peribadi dan rahsia yang baru ditetapkan akan
# disulitkan menggunakan nilai "keystore.pkcs12.keyProtectionAlgorithm" dan
# "keystore.pkcs12.keyPbeIterationCount" ditakrifkan di sini.
#
# In untuk menggunakan algoritma dan parameter baharu pada semua entri dalam
# stor kunci sedia ada, seseorang boleh mencipta stor kunci baharu dan menambah entri dalam
# stor kunci sedia ada ke dalam stor kunci baharu. Ini boleh dicapai dengan memanggil perintah
# "keytool -importkeystore".
#
# Jika sifat sistem dengan nama yang sama juga ditentukan, ia menggantikan
# nilai sifat keselamatan yang ditakrifkan di sini .
#
# Jika harta ditetapkan kepada nilai yang tidak sah,
# kiraan lelaran yang bukan integer positif, atau nama algoritma yang tidak diketahui
#, pengecualian akan dilemparkan apabila sifat digunakan.
# Jika sifat tidak ditetapkan atau kosong, nilai lalai akan digunakan.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Mereka tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.

# Algoritma yang digunakan untuk menyulitkan sijil. Ini boleh menjadi mana-mana algoritma PBE
# bukan Hmac yang ditakrifkan dalam bahagian Cipher dalam Java Security Standard
# Spesifikasi Nama Algoritma. Apabila ditetapkan kepada "TIADA", sijil
# tidak disulitkan. Nilai lalai ialah "PBEWithHmacSHA256AndAES_256".
#keystore.pkcs12.certProtectionAlgorithm = PBEWithHmacSHA256AndAES_256

# Kiraan lelaran yang digunakan oleh algoritma PBE apabila menyulitkan suatu sijil.##keystore.pkcs12.certPbeIterationCount = 10000

# Algoritma yang digunakan untuk menyulitkan kunci peribadi atau kunci rahsia. Ini boleh menjadi

# mana-mana algoritma PBE bukan Hmac yang ditakrifkan dalam bahagian Cipher pada Java
# Spesifikasi Nama Algoritma Standard Keselamatan. Nilai mestilah bukan "TIADA".
# Nilai lalai ialah "PBEWithHmacSHA256AndAES_256".
#keystore.pkcs12.keyProtectionAlgorithm = PBEWithHmacSHA256AndAES_256

# Algoritma lelaran PBE apabila digunakan oleh pengiraan lelaran kunci persendirian

# atau kunci rahsia. Nilai ini mestilah integer positif. Nilai lalai
# ialah 10000.
#keystore.pkcs12.keyPbeIterationCount = 10000

# Algoritma yang digunakan untuk mengira MacData pilihan pada penghujung fail PKCS12

#. Ini boleh menjadi sebarang algoritma HmacPBE yang ditakrifkan dalam bahagian Mac
# Spesifikasi Nama Algoritma Standard Keselamatan Java. Apabila ditetapkan kepada "TIADA",
# tiada Mac dijana. Nilai lalai ialah "HmacPBESHA256".
#keystore.pkcs12.macAlgorithm = HmacPBESHA256

# Kiraan lelaran yang digunakan oleh algoritma MacData. Nilai ini mestilah

# integer positif. Nilai lalai ialah 10000.
#keystore.pkcs12.macIterationCount = 10000

#
# Maklumat mesej pengecualian dipertingkatkan
#
# Secara lalai, mesej pengecualian tidak seharusnya termasuk maklumat yang berpotensi sensitif
# seperti nama fail, nama hos atau nombor port. Sifat ini
# menerima satu atau lebih nilai dipisahkan koma, setiap satunya mewakili
# kategori maklumat mesej pengecualian yang dipertingkatkan untuk didayakan. Nilai adalah
# huruf kecil. Ruang putih terkemuka dan mengekori, mengelilingi setiap nilai,
# diabaikan. Nilai yang tidak diketahui diabaikan.
#
# NOTA: Gunakan berhati-hati sebelum menetapkan sifat ini. Menetapkan sifat ini
# mendedahkan maklumat sensitif dalam Pengecualian, yang boleh, sebagai contoh,
# disebarkan kepada kod yang tidak dipercayai atau dipancarkan dalam surih tindanan yang
# secara tidak sengaja didedahkan dan boleh diakses melalui rangkaian awam.
#
# Kategori ialah:
#
#  hostInfo - IOExceptions yang dilemparkan oleh java.net.Socket dan jenis soket dalam
#             java.nio.channels#             maklumat mesej
#
#  jar      - membolehkan maklumat lebih terperinci dalam IOExceptions yang dilemparkan
#             mengikut kelas dalam pakej java.util.jar##
ini fail boleh ditindih oleh sifat sistem
# nama yang sama, dengan sintaks yang sama dan nilai yang mungkin.
#
#jdk.includeInExceptions=hostInfo,jar

#

# Mekanisme yang dilumpuhkan untuk Lapisan Pengesahan dan Keselamatan Mudah (SASL)

#
# Mekanisme yang dilumpuhkan tidak akan dirundingkan oleh kedua-dua pelanggan dan pelayan SASL.
# Mekanisme ini akan diabaikan jika ia dinyatakan dalam " mechanisms"
# argumen "Sasl.createSaslClient" atau argumen "mekanisme"
# "Sasl.createSaslServer".
#
# Nilai sifat ini ialah senarai dipisahkan koma bagi Mekanisme SASL.
# Mekanisme adalah sensitif huruf besar-besaran. Ruang putih di sekeliling koma diabaikan.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
# Contoh:
#   jdk.sasl.disabledMechanisms=PLAIN, CRAM-MD5, DIGEST-MD5
jdk.sasl.disabledMechanisms=

#

# Polisi untuk tidak mempercayai Pihak Berkuasa Sijil CA).

#
# Ini ialah nilai dipisahkan koma bagi satu atau lebih rentetan sensitif huruf besar-besaran, setiap satu
# daripadanya mewakili dasar untuk menentukan sama ada CA patut tidak dipercayai.
# The nilai yang disokong ialah:
#
#   SYMANTEC_TLS : Sijil Pelayan TLS Tidak Percaya yang dilabuhkan oleh Symantec
#   CA akar dan dikeluarkan selepas 16 April 2019 melainkan dikeluarkan oleh salah satu
#   berikut CA bawahan yang mempunyai tarikh ketidakpercayaan kemudian:
#     1. Apple IST CA 2 - G1, SHA-256 cap jari:
#        AC2B922ECFD5E01711772FEA8ED372DE9D1E2245FCE3F57A9B> 🎜 Ketidakpercayaan selepas 31 Disember 2019.
#     2. Apple IST CA 8 - G1, SHA-256 cap jari:
#        A4FE7C7F15155F3F0AEF7AAA83CF6E06DEB97CA3F909DF920AC1490882D488ED
#       🎜 1.# Ruang putih terkemuka dan mengekori mengelilingi setiap nilai diabaikan.
# Nilai tidak diketahui diabaikan. Jika harta itu diulas atau ditetapkan kepada
# Rentetan kosong, tiada dasar dikuatkuasakan.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia bukan dijamin disokong oleh pelaksanaan SE yang lain. Selain itu,
# harta ini tidak mengatasi sifat keselamatan lain yang boleh menyekat
# sijil seperti jdk.tls.disabledAlgorithms atau
# jdk.certpath.disabledAlgorithm; sekatan tersebut masih dikuatkuasakan walaupun
# jika sifat ini tidak didayakan.
#
jdk.security.caDistrustPolicies=SYMANTEC_TLS

#
# FilePermission path canonicalization
#
# Sifat keselamatan ini menentukan cara hujah laluan diproses dan disimpan

# semasa membina objek FilePermission. Jika nilai ditetapkan kepada benar, argumen

# laluan dikanonikalkan dan kaedah FilePermission (seperti tersirat,
# sama dan Kod cincang) dilaksanakan berdasarkan hasil berkanun ini.
# Jika tidak, laluan hujah tidak dikanonikal dan kaedah FilePermission
# dilaksanakan berdasarkan input asal. Lihat nota pelaksanaan kelas
# FilePermission untuk butiran lanjut.
#
# Jika sifat sistem dengan nama yang sama juga ditentukan, ia menggantikan
# nilai sifat keselamatan yang ditakrifkan di sini.
#
# Nilai lalai untuk sifat ini adalah palsu.
#
jdk.io.permissionsUseCanonicalPath=false

#
# Dasar untuk entri konfigurasi ccache_proksi_penyamar Kerberos
#
# Entri konfigurasi ccache_impersonator_proksi menunjukkan bahawa ccache
# ialah bukti kelayakan delegasi sintetik untuk digunakan dengan S4U2Proxy oleh perantara
# pelayan. Fail ccache juga harus mengandungi TGT pelayan ini dan
# tiket bukti daripada prinsip lalai ccache ke pelayan ini.
#
# Sifat keselamatan ini menentukan cara Java menggunakan entri konfigurasi ini.
# Terdapat 3 nilai yang mungkin:
#
#  tidak menyamar     - Abaikan entri konfigurasi ini dan sentiasa bertindak sebagai
#                       pemilik TGT (jika wujud).#  cuba-menyamar    - Cuba penyamaran apabila entri konfigurasi ini wujud.
#                       Jika tiada TGT atau tiket bukti yang sepadan ditemui,
#                                     >#  sentiasa-menyamar - Sentiasa menyamar sebagai entri konfigurasi ini wujud.
#                       Jika tiada TGT atau tiket bukti yang sepadan ditemui,
#                       tiada kelayakan awal dibaca.#> -menyamar".
#
# Jika sifat sistem dengan nama yang sama juga ditentukan, ia menggantikan
# nilai sifat keselamatan yang ditakrifkan di sini.
#
#jdk.security.krb5 .default.initiate.credential=always-impersonate

#
# Trust Anchor Certificates - CA Basic Constraint semakan
#
# X.509 v3 sijil digunakan sebagai Trust Anchor (untuk mengesahkan yang ditandatangani kod atau TLS
# sambungan) mesti mempunyai medan Kekangan Asas cA ditetapkan kepada 'benar'. Selain itu, jika

# ia termasuk sambungan Penggunaan Kunci, bit keyCertSign mesti ditetapkan. Ini

# semakan, didayakan secara lalai, boleh dilumpuhkan untuk keserasian ke belakang
# tujuan dengan sifat jdk.security.allowNonCaAnchor System and Security
#. Dalam kes kedua-dua sifat ditetapkan secara serentak, nilai
# Sistem diguna pakai. Nilai lalai bagi harta itu ialah "palsu".
#
#jdk.security.allowNonCaAnchor=true

#
# Nama set Aksara lalai (java.nio.charset.Charset .forName())
# untuk menukar nilai TLS ALPN antara tatasusunan bait dan Rentetan.
# Versi JDK terdahulu boleh menggunakan UTF-8 sebagai set aksara lalai. Jika
# anda mengalami masalah kebolehoperasian, menetapkan sifat ini kepada UTF-8

# boleh membantu.

#
# jdk.tls.alpnCharset=UTF-8
jdk.tls.alpnCharset= ISO_8859_1

#
# Penapis Kilang Objek JNDI
#
# Penapis ini digunakan oleh masa jalan JNDI untuk mengawal set kelas kilang objek
# yang akan dibenarkan untuk membuat seketika objek daripada rujukan objek yang dikembalikan oleh

# sistem penamaan/direktori. Kelas kilang yang dinamakan oleh contoh rujukan akan

# dipadankan dengan penapis ini. Sifat penapis menyokong sintaks penapis berasaskan corak
# dengan format yang sama seperti jdk.serialFilter.
#
# Setiap corak dipadankan dengan nama kelas kilang untuk membenarkan atau tidak membenarkannya
# instantiasi. Akses kepada kelas kilang dibenarkan melainkan penapis kembali
# DITOLAK.
#
# Nota: Sifat ini sedang digunakan oleh pelaksanaan Rujukan JDK.
# Ia tidak dijamin untuk diperiksa dan digunakan oleh pelaksanaan lain.
#
# Jika sifat sistem jdk.jndi.object.factoriesFilter juga ditentukan, ia menggantikan
# nilai sifat keselamatan yang ditakrifkan di sini. Nilai lalai bagi harta itu ialah "*".
#
# Nilai corak lalai membenarkan mana-mana kelas kilang objek yang ditentukan oleh rujukan
# contoh untuk mencipta semula objek yang dirujuk.
#jdk.jndi .object.factoriesFilter=*

Atas ialah kandungan terperinci Selepas Java8 (291), TLS1.1 dilumpuhkan dan JDBC tidak boleh menyambung ke SqlServer2008 menggunakan SSL.. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Artikel ini dikembalikan pada:yisu.com. Jika ada pelanggaran, sila hubungi admin@php.cn Padam