在https协议中请求nginx服务器时握手失败

问题描述 投票:0回答:1

我遇到了https请求的问题。问题是我正在配置nginx服务器以接受来自Windows计算机上的应用程序的https请求但无法连接到服务器。以下是有关wireshark的一些信息:

Windows应用程序请求:enter image description here

来自server1的响应:enter image description here

还有另一个服务器响应:enter image description here

服务器上的nginx版本是1.12.2,openssl版本是1.0.1f。 Nginx配置如下:

ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

有关https://www.ssllabs.com/ssltest/analyze.html的server1的信息:

由于我没有在服务器TLSv1.0中找到任何客户端的密码套件,如“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。我想知道问题是否发生在语言或软件之间的区别。

顺便说一下,除了关于server2的请求url之外,我没有其他信息,我的目标是部署server1来接受来自windows客户端的请求。

任何人都可以提出一些建议来解决问题或提供一些线索吗?非常感谢!

ssl nginx https
1个回答
0
投票

我终于找到了问题的原因。出现此问题是因为默认情况下nginx 1.12.2不支持周ssl密码。而基于不同版本的Windows操作系统(如XP)的客户端应用程序提供了有限的密码套件,如TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。这些密码套件的安全性很差。 IE8浏览器中出现同样的问题。 IE8有时无法访问较新的网站。

我的解决方案是使用一些额外的参数重新编译nginx:

安装依赖 sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git

下载nginx wget -c https://nginx.org/download/nginx-1.12.2.tar.gz tar zxf nginx-1.12.2.tar.gz

检查openssl版本 dpkg -s openssl

检查openssl对3DES的支持 openssl ciphers -v "3DES"

下载openssl源代码openssl> = 1.1.0默认情况下不支持3DES wget -O openssl.zip -c https://github.com/openssl/openssl/archive/OpenSSL_1_0_1f.zip unzip openssl.zip mv openssl-OpenSSL_1_0_1f/ openssl

编译并安装nginx cd nginx-1.12.2 ./configure --with-openssl=../openssl --with-http_ssl_module --with-openssl-opt='enable-weak-ssl-ciphers' make sudo make install

通过一些ssl配置,服务器能够支持使用3DES密码套件的https请求。

谢谢!

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.