Bonjour,

Dans un cluster weblogic j'ai paramétré ma console d'administration pour qu'elle ne soit accessible qu'en https. Pour cela pas de problème, ma console s’allume correctement et je peux y accéder uniquement en https comme prévu.

Le problème vient lorsque j'essaie de me connecter à la console via l'utilitaire wlst.sh

j'explique le contexte:

Pour que tout soit automatique, un script ksh appelle des librairies python sur wlst.sh.

La fonction permettant de déterminer l’état de la console d'administration se connecte tout d'abord au nodemanager grâce à la fonction nmConnect().

Ensuite, on se connecte à la console d’administration grâce à connect(user,password,'t3://address:port') (t3s remplace t3 dans ma fonction si la console est en https)
Avant le passage en https, aucune erreur

Après ca:
javax.net.ssl.SSLException: Received fatal alert: unexpected_message; No available router to destination
En debugant je découvre que lors du démarrage de la console d'administration cette option est activée: -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.0, si je l'enlève ou que je la remplace par -Dweblogic.security.SSL.ProtocolVersion=ALL l'erreur ne survient plus

En cherchant sur internet je tombe sur cette page du support oracle:
https://support.oracle.com/epmos/fac...e=11mxluug1m_4

Voici ce qui y est écrit si le lien est mort:
Cause

Weblogic client lib tries to start handshake with sslv2 to Weblogic server and was rejected.
Solution

Configure Weblogic client not to use SSL as follows:

1. On the desktop running Java Client, go to Control Panel -> Java -> Java tab -> View...

2. Find the JRE used to run Java Client. In Runtime Parameters, add: -Dweblogic.security.SSL.protocolVersion=TLS1. Click OK, OK.

Note: If you have both 32-bit and 64-bit of the same JRE version installed, the Java Control Panel may only show the 64-bit. However, it's the32-bit that is being used. In this case, uninstall the 32-bit edition.

J'ai donc remplacé ma ligne qui causait le problème par celle donnée ci-dessus -Dweblogic.security.SSL.protocolVersion=TLS1

Le problème n'a pas été reglé.

Ma question est donc:

y a t-il a moyen de communiquer en t3s sans autoriser tous les protocoles ? et sinon est-ce que si je mets cet argument -Dweblogic.security.SSL.ProtocolVersion=ALL (ou aucun car cela revient au même) la sécurité est réduite ou est-ce que cela n'aura pas d'impact concret ?



Pour info, voici les paramètres de démarrage de ma console (sauf la ligne que j’évoque précédemment) en question):

-server
-Xms256m
-Xmx512m
-XX:CompileThreshold=8000
-XX:PermSize=128m
-XX:MaxPermSize=256m
-Dweblogic.Name=myserver
-Djava.security.policy=/logiciels/bea/weblogic_12.1.3/wlserver/server/lib/weblogic.policy
-Dweblogic.system.BootIdentityFile=chemin/boot.properties
-Dweblogic.nodemanager.ServiceEnabled=true
-Dweblogic.nmservice.RotationEnabled=true
-Xverify:none
-Djava.endorsed.dirs=/opt/java/jdk1.8.0_192_Linux_64bits//jre/lib/endorsed:/logiciels/weblogic_12.1/oracle_common/modules/endorsed
-da
-Dwls.home=/logiciels/bea/weblogic_12.1.3/wlserver/server
-Dweblogic.home=/logiciels/bea/weblogic_12.1.3/wlserver/server
-Dweblogic.utils.cmm.lowertier.ServiceDisabled=true
-Djdk.tls.client.protocols=TLSv1.1,TLSv1.2
-Dweblogic.ssl.SSLv2HelloEnabled=false