1. 首頁
  2. 問答
  3. 配置Apache TLSv 1.2

配置Apache TLSv 1.2

2017-08-01 115 views
0

我正在嘗試配置apache以僅支持TLSv1.2密碼。 我在DEV服務器和以下配置測試工作正常。配置Apache TLSv 1.2

vim /etc/apache2/mods-available/ssl.conf

添加下面的行。

SSLCipherSuite DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128- 
       SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA 
SSLProtocol ALL -SSLv2 -SSLv3 
SSLOptions +StrictRequire

nmap scan輸出是如下, NMAP -sV --script SSL的枚舉密碼-p 443 abc.xyz.com 在2017年7月31日12:02 GMT Nmap的開始的Nmap 6.40掃描abc.xyz.com報告(xxxx) 主機已啓動(延遲0.0022秒)。

PORT STATE SERVICE VERSION 
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu)) 
| ssl-enum-ciphers: 
| SSLv3: No supported ciphers found 
| TLSv1.2: 
|  ciphers: 
|  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA256 - strong 
|  TLS_RSA_WITH_AES_128_GCM_SHA256 - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA256 - strong 
|  TLS_RSA_WITH_AES_256_GCM_SHA384 - strong 
|  compressors: 
|  NULL 
|_ least strength: strong

執行服務檢測。請在http://nmap.org/submit/報告任何不正確的結果。 Nmap的完成:在13.53秒

當我在階段服務器做同樣的(阿帕奇ssl.conf中)設置的輸出是不同的掃描1點的IP地址(1臺主機上)。 我還在apache虛擬主機配置文件中添加了「SSLProtocol -all + TLSv1.2」。

nmap -sV --script ssl-enum-ciphers -p 443 localhost

在2017年7月31日12:05 GMT Nmap的本地主機掃描報告開始的Nmap 6.40(http://nmap.org)(127.0.0.1) 主機已啓動(0.000064s延遲)。 本地主機其他地址(未掃描):127.0.0.1

PORT STATE SERVICE VERSION 
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu)) 
| ssl-enum-ciphers: 
| SSLv3: No supported ciphers found 
| TLSv1.0: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
| TLSv1.1: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
| TLSv1.2: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
|_ least strength: strong 
Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds

我的Apache的版本是:Server version: Apache/2.4.7 (Ubuntu) 我OpenSSL的版本是:OpenSSL 1.0.1f 6 Jan 2014 以上版本階段&開發服務器上一樣。

任何人都可以引導我,舞臺服務器出了什麼問題嗎?

來源

2017-08-01 user4

+0

檢查解決方案[這裏](https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache),看起來像同樣的情況。 –

+0

它可以工作,但web應用程序/ url不會在瀏覽器中加載。 – user4

+0

它顯示了什麼?你在網站日誌中收到錯誤嗎? –

回答

0

在多個配置中使用多個SSLProtocol指令時可能會發生這種情況。解決方案描述爲here

來源

2017-08-02 08:03:29

+0

感謝您的支持,這可能有所幫助:此問題發生在Load Balancer。 「我們發現負載均衡器沒有配置爲支持/重定向密碼信息」。 – user4

相關問題

 相關問題