Apache：cURL：ssl3_get_record：apache2 ssl 的版本号错误

Question

我有一台同时运行 2 个 Magento 站点的服务器。站点 1 在 SSL 下运行良好，而站点 2 在我访问时返回错误。

我尝试使用 cURL 测试网站：

curl -v https://example2-domain.com/

cURL 抛出此错误：

*   Trying 97.74.223.135...
* TCP_NODELAY set
* Connected to example2-domain.com (97.74.233.135) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* (304) (OUT), TLS handshake, Client hello (1):
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* stopped the pause stream!
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

这是供参考的 Apache VirtualHost 块：

<VirtualHost 97.74.233.135:8080>
    ServerName www.example-domain.com
    ServerAlias example-domain.com
    DocumentRoot /home/example/public_html
    DirectoryIndex index.php
    ServerAdmin webmaster@example-domain.com
    UseCanonicalName Off
    ScriptAlias /cgi-bin/ /home/example/public_html/cgi-bin/
    <Directory /home/example/public_html>
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

<VirtualHost 97.74.233.135:8080>
    ServerName example-domain2.com
    DocumentRoot /home/example2/public_html
    DirectoryIndex index.php
    ServerAdmin webmaster@example-domain2.com
    UseCanonicalName Off
    ScriptAlias /cgi-bin/ /home/example2/public_html/cgi-bin/
    <Directory /home/example2/public_html>
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

<VirtualHost 97.74.233.135:443>
    ServerAdmin webmaster@example-domain.com
    ServerName www.example-domain.com
    LogLevel warn
    ErrorLog /var/log/apache2/example-domain.com-ssl-error.log
    CustomLog /var/log/apache2/example-domain.com-ssl-access.log combined
    ProxyPreserveHost On
    ProxyPass / http://127.0.0.1:6081/
    ProxyPassReverse / http://127.0.0.1:6081/
    RequestHeader set X-Forwarded-Port "443"
    RequestHeader set X-Forwarded-Proto "https"
    SSLEngine On
    SSLCertificateFile /ssl/example-domain.crt
    SSLCertificateKeyFile /ssl/example-domain-key.txt
    SSLCertificateChainFile /ssl/example-domain.ca-bundle
</VirtualHost>

<VirtualHost 97.74.233.135:443>
    ServerAdmin webmaster@example-domain2.com
    ServerName example-domain2.com
    LogLevel warn
    ErrorLog /var/log/apache2/example-domain2.com-ssl-error.log
    CustomLog /var/log/apache2/example-domain2.com-ssl-access.log combined
    ProxyPreserveHost On
    ProxyPass / http://127.0.0.1:6081/
    ProxyPassReverse / http://127.0.0.1:6081/
    RequestHeader set X-Forwarded-Port "443"
    RequestHeader set X-Forwarded-Proto "https"
    SSLEngine On
    SSLCertificateFile /ssl/example-domain2.com.crt
    SSLCertificateKeyFile /ssl/example-domain2-key.txt
    SSLCertificateChainFile /ssl/example-domain2.ca-bundle
</VirtualHost>

如果您想知道端口 6081 上是什么，Varnish 已配置为位于该端口上。

有人可以告诉我为什么会发生这种情况吗？谢谢！

Answer 1

原来，域首先指向了错误的服务器！这就是显示错误的原因。将域的A记录指向正确的服务器后，所有配置都正确。

Answer 2

在为网站设置 SSL 时，我在 Ubuntu 20.04 上使用 Apache2 网络服务器时遇到了同样的问题。

每次我运行 curl 请求时：

curl https://corebanking.test.vggdev.com

或

curl https://my-website.com:443

我得到错误：

curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

我检查了网站 (my-website.conf) 的配置文件，看起来还不错。

这是我修复它的方法：

我发现/etc/apache2/sites-enabled 目录中没有网站的配置文件 (my-website.conf)。所以没有启用配置。

我所要做的就是将my-website.conf 符号链接到/etc/apache2/sites-enabled 目录：

sudo ln -s /etc/apache2/sites-available/my-website.conf /etc/apache2/sites-enabled/my-website

接下来，我列出了/etc/apache2/sites-enabled 目录的内容，以确保网站的配置文件（my-website.conf）在那里：

ls /etc/apache2/sites-enabled/

最后，我重新启动了 apache2 网络服务器：

sudo systemctl restart apache2

就是这样。

我希望这会有所帮助

Answer 3

在我的例子中，我的 NAT 配置指向了错误的内部端口。 UI 允许使用逗号分隔符写入源/dist 端口，但它不是关联的（source=80,443 和 dest=80,443 将所有数据包重定向到 80）。

在这种情况下，Apache 配置是有效的，访问日志会跟踪请求，但没有关于端口配置问题的更多信息。响应是错误请求的代码 400：

x.x.x.x - - [25/Aug/2021:09:06:23 +0000] "\x16\x03\x01\x02" 400 0 "-" "-"

奖励：为了更轻松地调试 TLS，我使用 openssl s_client 而不是 curl 来检查 SSL 配置

openssl s_client -connect example2-domain.com:443