我遇到了 https 请求的问题。问题是我正在配置 nginx 服务器以接受来自 Windows 计算机上应用程序的 https 请求,但无法连接到服务器。以下是wireshark的一些资料:
Windows 应用请求:
来自服务器 1 的响应:
服务器 2 的另一个响应:
服务器上的nginx版本是1.12.2,openssl版本是1.0.1f。 Nginx 配置如下:
ssl_certificate /etc/nginx/cert/cert.pem;
ssl_certificate_key /etc/nginx/cert/cert.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
关于 server1 的信息来自 https://www.ssllabs.com/ssltest/analyze.html :
因为我在服务器 TLSv1.0 中找不到任何客户端的密码套件,如“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。我想知道是否是导致问题发生的语言或软件之间的差异。
顺便说一句,除了有关 server2 的请求 url 之外,我没有更多信息,我的目标是部署 server1 以接受来自 Windows 客户端的请求。
谁能给点解决问题的建议或提供一些线索?非常感谢!
最佳答案
终于找到问题的原因了。出现这个问题是因为nginx 1.12.2默认不支持week ssl ciphers。而构建在不同版本的Windows操作系统(如XP)上的客户端应用程序提供了有限的密码套件,例如TLS_RSA_WITH_3DES_EDE_CBC_SHA和TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA。这些密码套件的安全性很弱。同样的问题出现在IE8浏览器中。 IE8 有时无法访问较新的网站。
我的解决方案是使用一些额外的参数重新编译 nginx:
安装依赖
sudo apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git
下载nginx
wget -c https://nginx.org/download/nginx-1.12.2.tar.gz
tar zxf nginx-1.12.2.tar.gz
检查openssl版本
dpkg -s openssl
检查 openssl 对 3DES 的支持
openssl 密码 -v "3DES"
下载openssl源码openssl>=1.1.0默认不支持3DES
wget -O openssl.zip -c https://github.com/openssl/openssl/archive/OpenSSL_1_0_1f.zip
解压 openssl.zip
mv openssl-OpenSSL_1_0_1f/openssl
编译安装nginx
cd nginx-1.12.2
./configure --with-openssl=../openssl --with-http_ssl_module --with-openssl-opt='enable-weak-ssl-ciphers'
制作
须藤安装
通过一些 ssl 配置,服务器能够支持使用 3DES 密码套件的 https 请求。
谢谢!
关于ssl - https协议(protocol)请求nginx服务器时握手失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48560608/