Red Hat build of OpenJDK 11.0.13 发行注记
摘要
前言
Open Java Development Kit (OpenJDK)是 Java Platform, Standard Edition (Java SE)的一个免费的开源实现。Red Hat build of OpenJDK 在两个版本中提供,红帽构建的 OpenJDK 8u 和 Red Hat build of OpenJDK 11u。
红帽构建的 OpenJDK 软件包在 Red Hat Enterprise Linux 和 Microsoft Windows 上提供,并作为红帽生态系统目录中的 JDK 和 JRE 提供。
提供有关红帽构建的 OpenJDK 文档的反馈
要报告错误或改进文档,请登录到 Red Hat JIRA 帐户并提交问题。如果您没有 Red Hat Jira 帐户,则会提示您创建一个帐户。
流程
- 单击以下链接 以创建 ticket。
- 在 Summary 中输入问题的简短描述。
- 在 Description 中提供问题或功能增强的详细描述。包括一个指向文档中问题的 URL。
- 点 Submit 创建问题,并将问题路由到适当的文档团队。
使开源包含更多
红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
第 1 章 红帽构建的 OpenJDK 支持政策
红帽在其产品中支持选择版本的 OpenJDK 的主版本。为实现一致性,这些版本与 Oracle JDK 的长期支持(LTS)指定的版本相同。
自首次引入该版本起,红帽构建的 OpenJDK 主版本将最少提供六年的支持。如需更多信息,请参阅 OpenJDK 生命周期和支持政策
RHEL 6 于 2020 年 11 月结束其生命周期。因此,红帽构建的 OpenJDK 不支持 RHEL 6 作为支持的配置。
第 2 章 与上游 OpenJDK 11 的不同
Red Hat 在 Red Hat Enterprise Linux (RHEL)中构建 OpenJDK 包含了来自 OpenJDK 上游发行版的许多结构更改。红帽构建的 Microsoft Windows 版本尝试尽快遵循 RHEL 更新。
以下列表详细介绍了 OpenJDK 11 最显著的红帽构建变化:
- FIPS 支持。Red Hat build of OpenJDK 11 会自动检测 RHEL 是否处于 FIPS 模式,并自动配置红帽构建的 OpenJDK 11 以在该模式下运行。此更改不适用于适用于 Microsoft Windows 的红帽构建的 OpenJDK 构建。
- 加密策略支持。红帽构建的 OpenJDK 11 从 RHEL 获取启用的加密算法和密钥大小限制列表。这些配置组件由传输层安全(TLS)加密协议、证书路径验证和任何签名的 JAR 使用。您可以设置不同的安全配置集来平衡安全性和兼容性。此更改不适用于适用于 Microsoft Windows 的红帽构建的 OpenJDK 构建。
-
RHEL 上的红帽构建的 OpenJDK 会动态链接到原生库,如
zlib用于归档格式支持,libjpeg-turbo、libpng和giflib用于镜像支持。RHEL 还动态链接Harfbuzz和Freetype用于字体渲染和管理。 -
src.zip文件包含红帽构建的 OpenJDK 附带的所有 JAR 库的源。 - RHEL 上的红帽 OpenJDK 构建使用系统范围的时区数据文件作为时区信息的来源。
- RHEL 上的红帽构建的 OpenJDK 使用系统范围的 CA 证书。
- Microsoft Windows 上的红帽构建的 OpenJDK 包括 RHEL 的最新可用时区数据。
- Microsoft Windows 上的红帽构建的 OpenJDK 使用 RHEL 的最新可用 CA 证书。
其他资源
- 有关检测系统是否处于 FIPS 模式的更多信息,请参阅 Red Hat RHEL 计划 JIRA 中的增强系统 FIPS 检测示例。
- 有关加密策略的更多信息,请参阅使用系统范围的加密策略。
第 3 章 Red Hat build of OpenJDK 功能
3.1. 新功能及功能增强
本节论述了本发行版本中引入的新功能。它还包含有关现有功能更改的信息。
有关所有其他更改和安全修复,请参阅 OpenJDK 11.0.13 发行版本。
3.1.1. 删除了 IdenTrust root 证书
IdenTrust 中的以下 root 证书已从 cacerts 密钥存储中删除:
- alias Name: identrustdstx3 [jdk]
- 区分名称:CN=DST Root CA X3、O=Digital Signature Trust Co.
如需更多信息,请参阅 JDK-8271434。
3.1.2. 更新了 keytool,从 SKID 创建 AKID 以发布由 RFC 5280 指定的证书
keytool 工具的 gencert 命令已更新,以便从 SKID 创建 AKID,以发布 RFC 5280 指定的证书。
如需更多信息,请参阅 JDK-8261922。
3.1.3. 添加了 ChaCha20 和 Poly1305 TLS 密码套件
新的 TLS 密码套件使用 ChaCha20-Poly1305 算法添加到 JSSE。这些密码套件会被默认启用。TLS_CHACHA20_POLY1305_SHA256 密码套件可用于 TLS 1.3。
以下密码套件可用于 TLS 1.2:
-
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 -
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 -
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
如需更多信息,请参阅 JDK-8210799。
3.1.4. 更新了默认启用的密码套件首选项
默认启用的密码套件的首选项已更改。兼容性影响应该最小。如果需要,应用程序可以自定义启用的密码套件及其首选项。
如需更多信息,请参阅 JDK-8219551。
第 4 章 可移植构建更改
4.1. OpenJDK 的可移植 Linux 构建
OpenJDK 的可移植 Linux 构建可以通过 FIPS 模式获得。RHEL OpenJDK 构建中也提供了 FIPS 模式。如果您的系统以 FIPS 模式运行,则必须在可移植的 Linux 构建上安装 NSS。
4.2. OpenJDK 的可移植 Windows 构建
OpenJDK 的可移植 Windows 构建可以通过 FIPS 模式获得。如果您的系统以 FIPS 模式运行,则不需要在可移植 Windows 构建上安装 NSS。
第 5 章 与本发行版本相关的公告
以下公告已发布到这个版本中包含的程序错误修复和 CVE 修复。
更新于 2024-05-10
