【发布时间】:2018-01-07 19:29:24
【问题描述】:
我正在尝试将 apache 配置为仅支持 TLSv1.2 密码。 我在 DEV 服务器和以下配置中测试工作正常。
vim /etc/apache2/mods-available/ssl.conf
添加到以下行。
SSLCipherSuite DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128-
SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA
SSLProtocol ALL -SSLv2 -SSLv3
SSLOptions +StrictRequire
nmap scan 输出如下,
nmap -sV --script ssl-enum-ciphers -p 443 abc.xyz.com
格林威治标准时间 2017-07-31 12:02 开始 Nmap 6.40
abc.xyz.com (x.x.x.x) 的 Nmap 扫描报告
主机已启动(0.0022 秒延迟)。
PORT STATE SERVICE VERSION
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu))
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong
已执行服务检测。请在http://nmap.org/submit/ 报告任何不正确的结果。 Nmap 完成:13.53 秒内扫描了 1 个 IP 地址(1 个主机启动)
当我在舞台服务器中执行相同的 (apache ssl.conf) 设置时,输出会有所不同。 我还在 apache 虚拟主机配置文件中添加了“SSLProtocol -all +TLSv1.2”。
nmap -sV --script ssl-enum-ciphers -p 443 localhost
2017-07-31 12:05 GMT 开始 Nmap 6.40 (http://nmap.org) 本地主机 (127.0.0.1) 的 Nmap 扫描报告 主机已启动(0.000064 秒延迟)。 localhost 的其他地址(未扫描):127.0.0.1
PORT STATE SERVICE VERSION
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu))
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
|_ least strength: strong
Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds
我的 Apache 版本是:Server version: Apache/2.4.7 (Ubuntu)
我的 OpenSSL 版本是:OpenSSL 1.0.1f 6 Jan 2014
以上版本在舞台和开发服务器上是相同的。
谁能指导我,舞台服务器出了什么问题?
【问题讨论】:
-
查看解决方案here,好像是一样的情况。
-
它可以工作,但浏览器中没有加载 Web 应用程序/url。
-
它显示了什么?您在网站日志中收到任何错误吗?
-
使用支持 tls v1.2 的 chrome 浏览器测试。
-
工作正常,阶段服务器的问题是负载均衡器配置。谢谢