1. 首页
  2. 问答
  3. 配置Apache TLSv 1.2

配置Apache TLSv 1.2

2017-08-01 79 views
0

我正在尝试配置apache以仅支持TLSv1.2密码。 我在DEV服务器和以下配置测试工作正常。配置Apache TLSv 1.2

vim /etc/apache2/mods-available/ssl.conf

添加下面的行。

SSLCipherSuite DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128- 
       SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA 
SSLProtocol ALL -SSLv2 -SSLv3 
SSLOptions +StrictRequire

nmap scan输出是如下, NMAP -sV --script SSL的枚举密码-p 443 abc.xyz.com 在2017年7月31日12:02 GMT Nmap的开始的Nmap 6.40扫描abc.xyz.com报告(xxxx) 主机已启动(延迟0.0022秒)。

PORT STATE SERVICE VERSION 
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu)) 
| ssl-enum-ciphers: 
| SSLv3: No supported ciphers found 
| TLSv1.2: 
|  ciphers: 
|  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong 
|  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA256 - strong 
|  TLS_RSA_WITH_AES_128_GCM_SHA256 - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA256 - strong 
|  TLS_RSA_WITH_AES_256_GCM_SHA384 - strong 
|  compressors: 
|  NULL 
|_ least strength: strong

执行服务检测。请在http://nmap.org/submit/报告任何不正确的结果。 Nmap的完成:在13.53秒

当我在阶段服务器做同样的(阿帕奇ssl.conf中)设置的输出是不同的扫描1点的IP地址(1台主机上)。 我还在apache虚拟主机配置文件中添加了“SSLProtocol -all + TLSv1.2”。

nmap -sV --script ssl-enum-ciphers -p 443 localhost

在2017年7月31日12:05 GMT Nmap的本地主机扫描报告开始的Nmap 6.40(http://nmap.org)(127.0.0.1) 主机已启动(0.000064s延迟)。 本地主机其他地址(未扫描):127.0.0.1

PORT STATE SERVICE VERSION 
443/tcp open ssl/http Apache httpd 2.4.7 ((Ubuntu)) 
| ssl-enum-ciphers: 
| SSLv3: No supported ciphers found 
| TLSv1.0: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
| TLSv1.1: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
| TLSv1.2: 
|  ciphers: 
|  TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong 
|  TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_128_CBC_SHA - strong 
|  TLS_RSA_WITH_AES_256_CBC_SHA - strong 
|  compressors: 
|  NULL 
|_ least strength: strong 
Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds

我的Apache的版本是:Server version: Apache/2.4.7 (Ubuntu) 我OpenSSL的版本是:OpenSSL 1.0.1f 6 Jan 2014 以上版本阶段&开发服务器上一样。

任何人都可以引导我,舞台服务器出了什么问题吗?

来源

2017-08-01 user4

+0

检查解决方案[这里](https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache),看起来像同样的情况。 –

+0

它可以工作,但web应用程序/ url不会在浏览器中加载。 – user4

+0

它显示了什么?你在网站日志中收到错误吗? –

回答

0

在多个配置中使用多个SSLProtocol指令时可能会发生这种情况。解决方案描述为here

来源

2017-08-02 08:03:29

+0

感谢您的支持,这可能有所帮助:此问题发生在Load Balancer。 “我们发现负载均衡器没有配置为支持/重定向密码信息”。 – user4

相关问题

 相关问题