我们有一个支持此格式的TLS 1.2 Cipher Suite的客户端...
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
而且我们的服务器(我认为是nginx?),其支持的列表位于此符号中...
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
客户端无法建立连接,因此我认为客户端/服务器在支持的密码上并不相同。有什么想法可以从缩写服务器符号中获得受支持密码的列表吗?
我知道EECDH是ECDHE的别名,所以我假设这两个密码之一将匹配。
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
任何想法为什么不呢?
如果服务器是公开可用的,请转到SSLLabs并测试服务器是否支持受支持的密码套件。它会为您提供所需格式的列表。
如果服务器不公开,则可以使用testssl.sh执行相同的操作。
openssl ciphers -V 'EECDH+AESGCM:EDH+AESGCM'为您提供OpenSSL表示法中的所有密码。要将其转换为RFC的表示法,请参阅man ciphers末尾的映射。执行此操作时,您将获得以下已正确识别的共享密码:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
但是,这些都是ECDSA密码,因此它们要求服务器具有ECC证书。我假设在您的情况下,服务器仅具有RSA证书(这仍然更为常见),因此基本上没有共享密码。相反,客户需要提供以下密码:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA384