【问题标题】:Configure Apache TLSv 1.2配置 Apache TLS 1.2
【发布时间】:2018-01-07 19:29:24
【问题描述】:

我正在尝试将 apache 配置为仅支持 TLSv1.2 密码。 我在 DEV 服务器和以下配置中测试工作正常。

vim /etc/apache2/mods-available/ssl.conf

添加到以下行。

SSLCipherSuite DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128-
               SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA
SSLProtocol ALL -SSLv2 -SSLv3
SSLOptions +StrictRequire

nmap scan 输出如下, nmap -sV --script ssl-enum-ciphers -p 443 abc.xyz.com 格林威治标准时间 2017-07-31 12:02 开始 Nmap 6.40 abc.xyz.com (x.x.x.x) 的 Nmap 扫描报告 主机已启动(0.0022 秒延迟)。

PORT    STATE SERVICE  VERSION
443/tcp open  ssl/http Apache httpd 2.4.7 ((Ubuntu))
| ssl-enum-ciphers:
|   SSLv3: No supported ciphers found
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

已执行服务检测。请在http://nmap.org/submit/ 报告任何不正确的结果。 Nmap 完成:13.53 秒内扫描了 1 个 IP 地址(1 个主机启动)


当我在舞台服务器中执行相同的 (apache ssl.conf) 设置时,输出会有所不同。 我还在 apache 虚拟主机配置文件中添加了“SSLProtocol -all +TLSv1.2”。

nmap -sV --script ssl-enum-ciphers -p 443 localhost

2017-07-31 12:05 GMT 开始 Nmap 6.40 (http://nmap.org) 本地主机 (127.0.0.1) 的 Nmap 扫描报告 主机已启动(0.000064 秒延迟)。 localhost 的其他地址(未扫描):127.0.0.1

PORT    STATE SERVICE  VERSION
443/tcp open  ssl/http Apache httpd 2.4.7 ((Ubuntu))
| ssl-enum-ciphers:
|   SSLv3: No supported ciphers found
|   TLSv1.0:
|     ciphers:
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|_  least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds

我的 Apache 版本是:Server version: Apache/2.4.7 (Ubuntu) 我的 OpenSSL 版本是:OpenSSL 1.0.1f 6 Jan 2014 以上版本在舞台和开发服务器上是相同的。

谁能指导我,舞台服务器出了什么问题?

【问题讨论】:

  • 查看解决方案here,好像是一样的情况。
  • 它可以工作,但浏览器中没有加载 Web 应用程序/url。
  • 它显示了什么?您在网站日志中收到任何错误吗?
  • 使用支持 tls v1.2 的 chrome 浏览器测试。
  • 工作正常,阶段服务器的问题是负载均衡器配置。谢谢

标签: apache ssl tls1.2


【解决方案1】:

当在多个配置中使用多个 SSLProtocol 指令时,可能会发生这种情况。解决方案描述为here

【讨论】:

  • 感谢您的支持,这可能会有所帮助:此问题出现在负载均衡器上。 “我们发现负载均衡器未配置为支持/重定向密码信息”。
猜你喜欢
  • 2020-05-03
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2016-09-12
  • 1970-01-01
  • 1970-01-01
  • 2019-09-20
  • 1970-01-01
相关资源
最近更新 更多